Reprise du message précédent :
puisqu'on vous a expliquez plus haut que les cookies c'est pas une méthode sure...

oué
c pour ça que .... voilà quoi ....
c quoi une méthode sûre? comment faire? (paskà la base c ça la question hein et pas l'utilisation des cookies )

k666 a écrit a écrit : oué c pour ça que .... voilà quoi .... c quoi une méthode sûre? comment faire? (paskà la base c ça la question hein et pas l'utilisation des cookies )

 
Ben ya bien un moyen de crypter le cookie non ?
 
Mais sinon si l'user se fait hacker, je vois pas bien comment toi en tant que webmaster, tu peux protéger l'user ?!
 
mais peut etre me trompe je !  

nan!
je m'en fous un peu de l'user
 
ce que je veux, c lui garantir, qu'avec son LOGIN et son MOT DE PASSE,
ce sera que lui qui accèdera à l'administration de SON site

et pour le cryptage du cookie
bin
c éventuellement possible
j'avais pensé à  
 
générer un chiffre aléatoire
l'insérer dans la base ainsi qu ela date de création
le mettre dans la session du keumé
une fois que sa session se finit le chiffre est effacé de la base

faut pas être parano kan meme    
non pas que ton site n'as d'intéret pour les hackers, mais
qu'avec un cookie de session (cookies qui se met sur le pc de l'user et qui se detrui (en programmation cela revient à ne rein mettre à l'intérieur) kan celui-ci ferme son navigateur
 
Ensuite en ce ki concerne le login/passe ya pas de probleme tu le conparer avec un enregistrement dans une bdd, en plus avec un changement de login/passe tous x mois ca le sécurise à fond
va voir le site http://www.postemploi.com
il utilise ce systeme, et ya aucun problème  (du moins depuis maitenant )
 
PS : ce cookies est générer dynamiquement avec les données de la bdd donc quasi inviolable (pourquoi quasi car en informatique RIEN n'est inviolable, la seule chose qui intervient c la temps que va mettre le hacker pour trouver une solution   )
 
 
ensuite je me permettrait de prendre une partie de la phrase de Max Evans

Cela fonctionne à merveille    
Je l'utilise depuis des années    
 
Ensuite  
tu à écris ce topic pour, je site

 
j'insiste sur "une partie d'un site internet"
 
c a dire que seul un groupe restrint de personnes seront au courants donc si tu donne comme adresse  
http://www.monsite.com/admin_monsite/login.php par exemple
seul le groupe restrint de personne connaitra cette adresse
donc personne ne soupsonnera que ce site puisse s'administrer directement en ligne   et voila tu as un systéme quasi ultra-sécurisé
Voici la proposition que j'utilise pour plusieurs sites internet qui sont à haut to de fréquentation

[edtdd]--Message édité par SteF_DOBERMANN--[/edtdd]

 
pas bon ça, les sessions oui, renvoyer le login+pwd à chaque accès de page, ça devient trop facile de l'intercepter
Si tu le fais qu'une fois lors de l'établissement de la session, tu limites déjà les dégats

j'ai une grosse connerie la
il faut renvoi un autre cookies qui posséde une chaine aléatoire
et faire les controle dessus,
 
la je crois que c'est mieux

donc:
récapitulons
 
 
le mec arrive à l'accueil sans rien:
 
il tape le BON login/mdp et donc une page ki vérifie ça, lui met un cookie de session avec une variable à valeur aléatoire qui doit être matchée entre  
 
*le serveur (via une bdd ou autre système???)
et
*le cookie session
 
et donc le serveur sait que qui possède ce cookie session avec cette valeur là, a le droit d'accès;
 
premier doute donc:
 
-comment gérer le fait qu'il y aie plusieurs utilisateurs connectés au même moment?
 
-quand effacer cette valeur du serveur?
 
-comment protéger l'envoi du login/mdp via une requête http (donc trackable?)
 
-comment empêcher quelqu'un qui testerait toutes les combinaisons possibles de login/mdp jusqu'à avoir la bonne?
 
?????
voilà, mes questions sont sympa non?

tu génere plusiqur variable de séssions
 

quand l'utilisateur se déconnect
 
[/quote]
-comment protéger l'envoi du login/mdp via une requête http (donc trackable?)

tu met un compteur au bouit de 3 essais tu stop le test sur ce login  
 

surtout chiante, mais c koi que te fais? un site pour la banque de france ou juste pour 2 utilisateur par jour?

bin un site pour des  tétards qu je connais pas encore,
mais faut que ce soit sür,
et en fait c que à but pédagogique,
et pour trouver une technique infaillible,
en général je suis assez parano et donc là je veux trouver mon psychologue,
je veux trouver la façon la moins onéreuse et la plus sûre pour créer une interface d'amdinistration de quoi que ce soit,
un truc à mettre, après, un peu partout

ok
en info rien n'est infaîble
donc à un moment donnée il faut tranché

C kler que rien n'est infaillible !
Sinon, tu peux essayer de faire un truc k'on voit courament :
Kand vas sur une page, y a une fenetre qui s'ouvre et qui te demande un login et mot de passe ; si tu rentres au PIF, ca te redirige vers une page d'erreur !
Si tu vois pas ce ke je veux dire, tu peux aller ici : http://phpmyadmin1-2.free.fr/phpMyAdmin/
 
@+