Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
775 connectés 

  FORUM HardWare.fr
  Programmation
  HTML/CSS

  [Web] [résolu] Empecher l'enregistrement des login/passw

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Web] [résolu] Empecher l'enregistrement des login/passw

n°581247
goueg
De passage
Posté le 02-12-2003 à 10:57:42  profilanswer
 

Salut,
Pour un site web très sécurisé je me pose une question:
peut-on empecher IE (ou tout autre browser) de proposer de se "rappeler du mot de passe" pour la prochaine fois ou on viendra? C tres problématique niveau sécurité, si l'utilisateur se sert de cette option et se barre 5 minutes a la photocopieuse...
 
J'ai pensé à un formulaire en Flash mais je ne suis pas sur de mon coup, et c pas génial...
Vous en pensez quoi? [:huit]
 
edit: résolu :)


Message édité par goueg le 04-12-2003 à 16:21:30
mood
Publicité
Posté le 02-12-2003 à 10:57:42  profilanswer
 

n°581250
Taiche
(╯°□°)╯︵ ┻━┻
Posté le 02-12-2003 à 10:59:19  profilanswer
 

Je crois que c'est tout à fait jouable pour IE. Pour Mozilla/Firebird (:hello: au passage :D), ils ont un truc qui propose pratiquement à chaque fois :sweat: Je dis "pratiquement" passke j'ai vu certains sites pour lesquels y avait pas de popup. Mais j'me rappelle pu lesquels :/


---------------
Everyone thinks of changing the world, but no one thinks of changing himself  |  It is the peculiar quality of a fool to perceive the faults of others and to forget his own  |  Early clumsiness is not a verdict, it’s an essential ingredient.
n°581266
urd-sama
waste of space
Posté le 02-12-2003 à 11:08:39  profilanswer
 

ca m'intéresse [:blueflag]

n°581283
goueg
De passage
Posté le 02-12-2003 à 11:36:43  profilanswer
 

Taiche a écrit :

Je crois que c'est tout à fait jouable pour IE. Pour Mozilla/Firebird (:hello: au passage :D), ils ont un truc qui propose pratiquement à chaque fois :sweat: Je dis "pratiquement" passke j'ai vu certains sites pour lesquels y avait pas de popup. Mais j'me rappelle pu lesquels :/


un petit Flash peut être?
J'ai l'impression que du moment qu'on a du HTML/JS, Firebird donne toujours cette possibilité, et comme on ne peut interdire l'acces à Firebird (puisqu'il peut se faire passer pour IE ou autre), ca m'a l'air infaisable en HTML/JS.

n°581288
jagstang
Pa Capona ಠ_ಠ
Posté le 02-12-2003 à 11:43:54  profilanswer
 

et avec https ? moi il me semble que c'est tout à fait possible

n°581291
goueg
De passage
Posté le 02-12-2003 à 11:45:55  profilanswer
 

https? amazon l'utilise par exemple, et pourtant je peux t'assurer que je ne m'identifie jamais dessus, Firebird remplit les champs pour moi dès que j'arrive sur la page.

n°581644
goueg
De passage
Posté le 02-12-2003 à 16:53:17  profilanswer
 

Up? :/

n°581649
THE REAL S​MILEY
The Real Résistance!
Posté le 02-12-2003 à 17:07:05  profilanswer
 

[:drapo]

n°581653
kaa
Posté le 02-12-2003 à 17:18:33  profilanswer
 

Goueg a écrit :

https? amazon l'utilise par exemple, et pourtant je peux t'assurer que je ne m'identifie jamais dessus, Firebird remplit les champs pour moi dès que j'arrive sur la page.


salut,
 
tu es sur que Firebird/autre reussirait a remplir les champs sans cookies et avec des entetes du genre

<meta http-equiv="Pragma" content="no-cache" />
<meta http-equiv="Expires" content="0" />


comme le propose jagStang, https pourrait alors etre jouable.
 
Sinon, effectivement, passer par des trucs + lourds : Flash/applet java/n'importe quoi qui ne soit pas trop fortement couple au browser.


Message édité par kaa le 02-12-2003 à 17:20:02
n°581681
goueg
De passage
Posté le 02-12-2003 à 17:52:17  profilanswer
 

désactiver les cookies n'embete pas Firebird à ce niveau, il gère sa propre liste de passw/login au cas par cas.
avec ces entetes par contre j'en sais rien... J'essaierai ce soir

mood
Publicité
Posté le 02-12-2003 à 17:52:17  profilanswer
 

n°581683
Mara's dad
Yes I can !
Posté le 02-12-2003 à 17:56:18  profilanswer
 

Tu utilises une authentification HTTP ou un simple formulaire ?
 
Idée : Si c'est un formulaire, tu peux par exemple générer aléatoirement le nom du champs de saisie pour que même si le browser le stocke, ben la fois suivante il ne le remplisse pas.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°581689
goueg
De passage
Posté le 02-12-2003 à 18:04:00  profilanswer
 

hmm, c'est pas bete, mais l'utilisateur risque d'etre perdu (ca sera pas des informaticiens).
Et si le nom du champs change, c pas forcément évident de récupérer sa valeur derrière.
 
Tu utilises une authentification HTTP ou un simple formulaire ? >> c pas encore fait, on est à la modélisation / spécifications

n°581693
anapajari
s/travail/glanding on hfr/gs;
Posté le 02-12-2003 à 18:06:27  profilanswer
 

Goueg a écrit :

hmm, c'est pas bete, mais l'utilisateur risque d'etre perdu (ca sera pas des informaticiens).


Tu fais un input hidden avec le nom du champs de saisie ( le nom de l'hidden ne variant pas lui) .

n°581696
Mara's dad
Yes I can !
Posté le 02-12-2003 à 18:09:53  profilanswer
 

Goueg a écrit :

hmm, c'est pas bete, mais l'utilisateur risque d'etre perdu (ca sera pas des informaticiens).
Et si le nom du champs change, c pas forcément évident de récupérer sa valeur derrière.
 
Tu utilises une authentification HTTP ou un simple formulaire ? >> c pas encore fait, on est à la modélisation / spécifications


 
Pour les utilisateurs, c'est transparent !
 
C'est juste le name="" dans le <input type="password" qui est aléatoire.
Maintenant, il faut bien sûr avoir un moyen coté serveur, de connaitre ce nom de champs aléatoire.
Tu peux au choix, le garder en session, ajouter un champs caché au formulaire qui précise le nom du champs de password ou plus crad, travailler par défaut, c'est à dire tu as la variable du submit (s'il y en as un), celle du user, donc celle qui reste est le password.
 
C'est en quoi votre truc ?


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°581700
goueg
De passage
Posté le 02-12-2003 à 18:13:44  profilanswer
 

oui pour le name j'avais compris en cours de post :d
c en ASP.

n°581703
Mara's dad
Yes I can !
Posté le 02-12-2003 à 18:15:18  profilanswer
 

Reste plus qu'a tester, c'est juste une idée... Je sais pas si çà marche :D


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°581789
chrono
Ne m'appelez plus Dieu...
Posté le 02-12-2003 à 20:59:48  profilanswer
 

Mara's dad a écrit :

Reste plus qu'a tester, c'est juste une idée... Je sais pas si çà marche :D


 
C'est la meilleure idée selon moi en tout cas...
Et CA marche...


Message édité par chrono le 02-12-2003 à 21:00:35
n°581791
goueg
De passage
Posté le 02-12-2003 à 21:03:30  profilanswer
 

bin elle a un pb quand meme, il faut gerer ca avec le serveur derrière; et il faut creer les noms de sorte qu'ils soient utilisés pour la 1e fois (incrementation par ex, mais elle va etre enorme a force).
puis ca va creer des listes enormes si l'utilisateur retient toujours les passw


Message édité par goueg le 02-12-2003 à 21:05:47
n°581857
Mara's dad
Yes I can !
Posté le 02-12-2003 à 22:25:07  profilanswer
 

Tu peux générer un nom de champs d'une dizaine de caractères alpha facilement.
Pas besoin de se faire chier de savoir s'il a déjà été utilisé.
Les utilisateurs, vont pas insister quand ils verront que le login auto ne marche pas :D
Et même si le nom de champs revient, ce cera rare pour un utilisateur. Et même s'il à enregistré le MDP à chaque fois, un système aussi sensible se doit de :
1- Générer aléatoirement les MDP des utilisateurs au lieu de les laisser les choisir.
2- Changer de MDP périodiquement.
 
Si tu laisse les utilisateurs choisir les MDP et qu'ils ne changent pas, c'est pas la peine d'essayer de sécuriser l'accès !


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°583120
goueg
De passage
Posté le 04-12-2003 à 16:19:50  profilanswer
 

bon au final, comme la solution Flash est pas terrible, je vais faire un champs password avec un nom "pass_xxx" où xxx est un nombre basé sur la date (en secondes depuis 1970 par ex :d), et ce "pass_xxx" sera la valeur d'un champs caché (hidden). Ca peut que marcher.
 
Merci à tous :)
 
(ps mara's dad: oui le pass devra etre changé, par contre il sera choisi par l'utilisateur et soumis a validation automatique de complexité)


Message édité par goueg le 04-12-2003 à 16:20:51
n°600856
Taiche
(╯°□°)╯︵ ┻━┻
Posté le 02-01-2004 à 17:31:23  profilanswer
 

Bon alors j'viens de tomber sur ZE truc tout con [:boidleau]
 
Dans le champ d'un formulaire, il suffit de foutre autocomplete="off" dans l'attribut de l'input.
Exemple : <input name="passoueurde" type="password" autocomplete="off">
Marche aussi d'une façon plus générale en l'appliquant directement dans le tag <form>
 
Plus d'infos : http://devedge.netscape.com/viewso [...] ompletion/


---------------
Everyone thinks of changing the world, but no one thinks of changing himself  |  It is the peculiar quality of a fool to perceive the faults of others and to forget his own  |  Early clumsiness is not a verdict, it’s an essential ingredient.
n°600862
Mara's dad
Yes I can !
Posté le 02-01-2004 à 17:49:50  profilanswer
 

C'est cool ton truc, mais faut controler le navigateur.
Y'en a qui ne gèrent pas autocomplete="off"...

n°600872
Taiche
(╯°□°)╯︵ ┻━┻
Posté le 02-01-2004 à 18:17:51  profilanswer
 

IE et Moz le supportent, c'est déjà une bonne partie des browsers [:spamafote]


---------------
Everyone thinks of changing the world, but no one thinks of changing himself  |  It is the peculiar quality of a fool to perceive the faults of others and to forget his own  |  Early clumsiness is not a verdict, it’s an essential ingredient.
n°601139
goueg
De passage
Posté le 03-01-2004 à 01:04:18  profilanswer
 

ah ouais, c'est bon à savoir, merci pour l'info :)

n°601537
Big-Foot
Posté le 03-01-2004 à 17:41:09  profilanswer
 

et est ce que ca passe la validation w3c ?

n°601570
Mara's dad
Yes I can !
Posté le 03-01-2004 à 18:40:41  profilanswer
 

Taiche a écrit :

IE et Moz le supportent, c'est déjà une bonne partie des browsers [:spamafote]


 :non: IE 5+ :D


Message édité par Mara's dad le 03-01-2004 à 18:40:55

---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°601577
goueg
De passage
Posté le 03-01-2004 à 18:56:19  profilanswer
 

big-foot a écrit :

et est ce que ca passe la validation w3c ?


Bizarrement, pas d'autocomplete dans les attributs de input ou form sur w3schools.com :/

n°601578
Big-Foot
Posté le 03-01-2004 à 18:57:45  profilanswer
 

hum c'est dommage, je vais quand meme tester des que j'ai le temps.

n°601586
goueg
De passage
Posté le 03-01-2004 à 19:17:31  profilanswer
 

il est pas dans les specs de html 4.01 si je me gourre pas
http://www.w3.org/TR/html401/index/attributes.html
 
en même temps je ne pense pas que ce soit dans les normes html de préremplir un form, donc les browsers qui le font se sont peut être mis d'accord pour systématiquement inclure le autocomplete officieux.

n°601591
Taiche
(╯°□°)╯︵ ┻━┻
Posté le 03-01-2004 à 19:52:33  profilanswer
 


En même temps, IE 4... [:kiki]
Et pis je crois que c'est aussi en voie de disparition (comme Netscape 4).

big-foot a écrit :

hum c'est dommage, je vais quand meme tester des que j'ai le temps.


D'un autre côté, l'autocomplétion des browsers n'est absolument pas standard-compliant ; c'est même un trou de sécu en soi :o
Il serait d'ailleurs de bon aloi que les browsers possédant une fonction d'autocomplétion (à savoir IE 5/Moz et Moz-like/Opera 7) sachent interpréter le "autocomplete=off".

Goueg a écrit :


en même temps je ne pense pas que ce soit dans les normes html de préremplir un form, donc les browsers qui le font se sont peut être mis d'accord pour systématiquement inclure le autocomplete officieux.


Bin pas Opera 7, apparemment :/


Message édité par Taiche le 03-01-2004 à 19:53:19

---------------
Everyone thinks of changing the world, but no one thinks of changing himself  |  It is the peculiar quality of a fool to perceive the faults of others and to forget his own  |  Early clumsiness is not a verdict, it’s an essential ingredient.
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  HTML/CSS

  [Web] [résolu] Empecher l'enregistrement des login/passw

 

Sujets relatifs
probleme avec les session [RESOLU][résolu] accéder à une BDD MySQL sous Linux
[MFC] Taille fenetre, GetClient & GetRect [RESOLU][C++] Comment prendre le nom de l'autheur (résolu) ?
Question sur l'affichage d'une gif du Web...MIDP linux & JARs (résolu)
recherche script d'autocompletion deja posté ici [resolu][Javascript] : 2 événements sur un onclick [a y est résolu]
Switch Case qui buggue étrangement d'un site à l'autre. [Résolu][resolu] [Access] connaitre le nom de la bd active
Plus de sujets relatifs à : [Web] [résolu] Empecher l'enregistrement des login/passw


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR