Reprise du message précédent :
ben j'ai vérifié le cookie et mon mdp n'apparaît pas en clair en tout cas

authentifier.

 
t'as jamais entendu parler de sessions?

ben oui c'est un md5 et alors, c'est quoi l'interet?

ca te prend une seconde pour les mettre en clair

hahaha monsieur mp3 à inventé un algorithme pour décryper le md5, j'attend de voir ça avec impatience

donne moi ton password crypté alors
 
le mot de passe est codé en base64 dans les cookies,tu peut trés faire le contraire: http://www.wc.cc.va.us/dtod/base64/ ,tu verra que tu peut retrouver ton password

ben sur mon forum j'en utilise pas et il se porte trés bien

ha si c'est en base64 ok, mais alors ça n'a VRAIMENT aucun interet

c pour faire croire a des gens comme toi que c'est du md5 et que c'est impossible a trouver

hum ton site est sensé décoder un mdp en md5() ?

non,en base64

ah oui pardon    
en effet, la c'est ridicule.
Pourquoi ils sont pas en md5 ?

parce que le md5 n'est pas decryptable,donc impossible de comparer avec le mot de passe dans la bdd (car lui aussi est en clair )

bah pourquoi il a besoin d'etre en clair ?
 
edit: je veux dire, pourquoi pas faire une comparaison de md5() ?

parce qu'il a pas compris comment ça marche le md5

et il fait comment pour te renvoyer le mot de passe si tu l'as oublier ?

if (md5(mdpEnclair) == mdpCrypté) -> ok
 
 
 

ben il te le renvoie pas, il le reinitialise avec une valeur (genre clé unique) et tu peux le changer par la suite
faut sortir d'hfr un peu des fois hein

c'est une bonne idée ca j'y avais pas pensé

j'y ai deja pensé a ca aussi,mais j'ai pensé aussi au gars qui veut te faire chier et qui fait un envoie de mot de passe a ta place,ce qui fait que tu va changer de mot de passe sans que tu le veuille
imagine si le gars fait ca tout les jours avec ton mot de passe,tu aura tout les jours un nouveau mot de passe  

ben non hein.
ça t'arrive de surfer ailleurs que sur hfr ou quoi!!!  
 
bon
1/ le mec à oublié son mdp
2/ il clique sur "j'ai oublié mon mdp"
3/ -> ecran qui dit "un mail vous est envoyé, veuillez suivre les insctructions"
4/ dans le mail, y'a un lien avec un identifiant unique.
5/ SEULEMENT au moment ou ce lien est utilisé (donc qd la page resetpassword.php est chargée avec l'identifiant unique sus-mentionné), tu resettes le password. (ou meme tu laisses la possibilité au mec d'en mettre un nouveau direct)
6/ y'a une limite de validité courte à ce processus.
 
Donc si qqun a envie de me faire chier il va cliquer 25fois la dessus en mettant mon mail, je v recevoir 25 mails que je vais ignorer, mais mon mdp sera pas changé. et les admins du forums jetteront cet imbécile au passage.
 
Ca n'explique tjs pas l'interet du mdp dans les cookies

le mot de passe il sert car les cookies ne sont pas sur,tu peut editer le fichier texte et mettre n'importe quoi,c'est comme ca que certain pouvait lire la cat 0 cat joce ne verifier que le cookie du pseudo et non le cookie du password.
d'autre question?

Bon, résumons nous :
 
Le MDP dans les cookies, c'est pour ne pas avoir à s'authentifier à chaque fois qu'on vient sur le forum. Là tout le monde est d'accord.
 
Le MDP dans les cookies, qu'il soit en clair, en MD5 en Base64 ou en ce qu'on veut, çà ne change rien. Si on se le fait piquer, n'importe qui peut l'utiliser. Mais...
 
Tout dépend de l'utilisation.
Si le mot de passe est crypté en MD5, et s'il est assez long, (au moins 8 caractères non limité à de l'alphanumérique),
sur un forum, comme celui de joce, le MDP peut tout au plus permettre à un intrus de poster à la place de l'utilisateur légitime. Ce dernier, s'il s'en rend compte peut aller changer le mot de passe, alors que le voleur de cookie ne peut pas. Pour changer le mot de passe, il faut saisir l'ancien, la version cryptée des cookie ne suffit pas.
 
Malheureusement, le MDP du forum de Joce est en Base64, autrement dit en clair !
C'est sûr que c'est pas TOP, mais ce n'est qu'un forum.
Le danger vient du fait que les gens utilisent souvent le même MDP partout.
 
Dans la BD, si le MDP est en clair (pour pouvoir le renvoyer à un utilisateur distrait), pour le comparer à un MDP en MD5, il suffit de faire MD5(MDP_BD) = MDP_COOKIE !
 
Donc, il y a un intéres à mettre un MDP en MD5 dans les cookies. A condition qu'il ne serve pas à s'identifier pour des opérations délicates.

mais pq vous utilisez pas les sessions

Les sessions, pour un forum !
 
Bon que propose le forum :
 
Pour tout le monde :
-Lecture des posts des cats publiques.
 
Pour les seuls utilisateurs identifiés :
-1 Rédaction de messages.
-2 Notification de message dans la cat privée.
-3 Personnalisation de l'affichage
-4 Modifications des informations personnelles
 
Bon avec un système de session (durée maxi 20 mn par exemple) que se passe-t-il ?
-Tant que l'utilisateur n'est pas authentifié :
-1 Les paramètres d'affichage sont ceux par défaut.
-2 Pas de notification en cas de message privé.
 
-L'utilisateur décide de s'authentifier. Il le restera pendant 20 minutes maxi en cas d'inactivité, mais pendant ce temps :
1- Il est prévenu de l'arrivé d'un message privé.
2- Il peut poster des messages sans mettre un user et un MDP à chaque fois.
3- L'affichage est conforme à ses préférences.
4- Il peut modifier ses informations personnelles.
 
-Si la session expire, l'utilisateur doit de nouveau s'authentifier pour retrouver ses 'privilèges'.
 
Bien entendu, avec un user et un MDP en cookie, l'utilisateur 'Membre' du forum n'a pas besoin de s'authentifier tout le temps !
 
Sachant qu'un forum n'est pas une application sensible, que doit-on choisir. 1-Session ou 2-Authentification automatique ?
 
Bien sûr, comme la majorité (je pense), en temps qu'utilisateur qui a en permanence une fenêtre ouverte sur le forum quand je suis au boulot, çà me ferait bien chier de devoir m'authentifier chaque fois que je consulte le forum, si par malheur mon boulot m'a retenu plus de 20 minutes  
 
Je vote donc pour la deuxième solution.
 
Celà dit, il y a des alternatives à l'utilisation des cookies. Par exemple, l'authentification HTTP.
Avec un raccourci du genre, http://user:mdp@forum.hardware.fr, plus besoin de cookie, mais c'est la même chose. Le user et le mot de passe traine plus ou moins en clair sur mon PC.
 
Finalement, le tout est de savoir faire la part entre sécurité et confort de l'utilisateur. C'est la 'sensibilité' du site qui permet de décider.
 
Pour une application très sensible, ben y'a pas grand chose d'autre qu'HTTPS ! Mais il faut quand même savoir que çà bouffe un max de ressources. A conf égale, le serveur ne poura servir au mieux qu'un dixième des utilisateurs ! Et le tiers seulement avec la même conf, mais en ajoutant des composants dédiés à la crytographie ! (Qui coûtent les yeux de la tête en plus)
 
Les sessions sont en revanche parfaitement adaptées pour gérer par exemple un site de commerce. Cà sert juste à maintenir le caddie à jour. Y'a rien de vraiement confidentiel, jusqu'à la phase de payement (qu'il faut fuire si elle n'est pas en HTTPS !). Ce genre de site, associé avec un cookie d'indentification (mais pas d'authentification, ne pas confondre ) permet de personnaliser le site. Rien de bien méchant en cas d'usurpation d'identité.
 
Des questions ?

ben pour le forum moi j'utiliserais une session ou sont stockées notamment les prefs de l'utilisateur (contrairement à d'autres ou elles sont chargées en base à chaque fois ) ET un cookie d'identification, avec juste le username:
- le mec à tout le temps ses prefs meme s'il est pas loggé
- il doit se logger pour poster
- comme ici, il est pas obligé de passer par une page login, il peut entre son user/pass sur la page de post. -> s'il est delogé a cause d'un timeout, le password manager du browser remplira les champs qui vont bien à sa place
 
bref.
on parle de vol de cookie, et puis on vient dire qu'il faut foutre le pass dans le cookie je trouve ça louche quoi.

Mara's dad a écrit un beau discours : Les sessions, pour un forum !   [...]   Des questions ?

ca c'est de l'explication    
tu as programmé un forum?
 
edit:quote trop grand  

Non, j'ai jamais programmé de forum, mais plein d'autre choses !
 
Bonne idée le cookie d'identification (user simple) pour les préférences.
Il faut donc saisir le mot de passe pour chaque post, et pour consulter le messages privés.
Utiliser le gestionnaire de MDP du navigateur revient à conserver le MDP sur le client. C'est quoi la différence avec un MDP en cookie ?
 
Mais la session ne sert à rien.
Sauf si tu conserve les sessions en mémoire sur le serveur pour économiser des accès BD. Le problème, c'est que si un jour ton forum devient important et que tu est obligé de distribuer la charge sur plusieur serveur, ben tes sessions en mémoire ne peuvent plus être utilisées.
 
Dans ta solution, tu as:
-1 Session pour gérer les préférences
-2 Cookie user
-3 MDP géré par browser (pas plus safe que cookie)
 
Dans le forum:
- Cookie user + mdp
 
Lequel est le plus simple ?
Y a-t-il une différence point de vue sécurité ?
La gestion des sessions par le site est-elle plus performante qu'un accès BD pour récupérer les préférences ?

ben la diff. c'est qu'il n'est pas accessible en js ou autre
 
et sinon tu m'as pas compris, le client n'envoie pas le mdp à chaque post, seulement qd la session n'est plus valide. dans la session tu aurais un flag "authentifié" par ex.
 
et là difference je la vois surtout dans la clarté et simplicité du code
 
 

 
Sans doute vrai, pour JS, mais pas pour un sniffer
 
Cela dit, les cookies ne sont accessibles en JS par du code malicieu (plus pour longtemps, cf httpOnly) seulement si tu laisse n'importe qui poster du js dans ton forum    
 

 
Je ne vois vraiement pas en quoi c'est plus simple    
 
Ton forum doit gérer 3 types d'utilisateurs :
-1 Anonyme
-2 Indentifié (cookie 'user' persistants)
-3 Authentifié (session validée par saisie du MDP (Saisie auto dans browser possible) )
 
Au lieu de 2
-1 Anonyme
-2 Authentifié ( cookie 'user' + 'MDP' persistants)