Reprise du message précédent :

 
ca revient au même que de recopier le mdp crypté dans un cookie.

je n'aime pas laisser des mots de passe en clair, c'est tout - vu que j'utilise souvent les mêmes un peu partout ... là ce n'est qu'un cookie qui ne donne accès qu'à un truc.

oui et non ...
j'ai pas encore trouvé de solution fiable à part https + sessions (sans coockies)
 
que proposez vous comme solution la plus sécurisée ?

on utilise souvent le emem mot de passe pour tout ses acces... moi j'ai opter pour mettre un userid crypté dans le cookie
 
crypt mycryp_encrypt
decrypt mycrypt_decrypt

[edtdd]--Message édité par speedyop--[/edtdd]

 
donc tu fais pas confiance a ce forum-ci. Le cookie est crypté, mais si tu le copie sur une autre machine, et que tu vas sur une page pour poster, le mdp est en clair dans la source.
 
ethernal>> y a pas de solution sécurisé avec un cookie.

 
si en plus une simple fonction sans clef peut le décrypter...

bah si y'a une clef dans le variable dans le fichier de conf

un userid ... moui pq pas... mais ça change rien au problème, si on te le piques.
 
je pensais mettre le login dans un coockie et demander le pass chaque fois avec une session de 15 min.  Le prob c'est qu'il faut que les utilisateurs se déloguent sinon, je me retrouve avec pleins de fichiers de sesions inutiles dans mon /tmp/

non, je ne fais pas confiance à ce forum. il fait partie des comptes "je m'en fous" si je perds mon pass. oui, le mot de passe en clair je trouve ça vraiment stupide, je n'en vois vraiment pas l'intérêt.
 
sur mon forum, tu ne peux jamais voir ton mot de passe, et il faut rentrer l'ancien pour en changer. je trouve que c'est le minimum.

gizmo a écrit a écrit : je voulais voir un peu comment fonctionnait en détail ce forum, surtout pour les détails , et j'ai donc cherché comment ils comptait le temps de réalisation de la page.   Quelle déception! ils lancent leur compteur seulement APRES avoir fait la requète SQL, donc le compteur est complètement biaisé.   En plus je sais pas qui a penser a l'organisation de leurs tables, mais c'est pas la joie...

ce forum est en open source ?
y a un tutoriel pour apprendre al instalé ?

ce forum fait reference a phpbb po celui ci ou tu te trouve en ce moment

en fait il faudrait crypter dans le coockie le userid par exemple et un numéro unique pour la machine...
userid -> ok  
numéro unique ?  
 - ip, non elle change
 - l'adresse mac de la carte réseau ... hum y a moyen ? et puis l'usb fout tout en l'air
 - le numéro de session, il change à chaque nouvelle fenêtre
 
je suis à court

 
oui, il est open source et il y a un fichier qui explique comment l'installé (mais bon c'est loin d'être dificile)

 
c'est quoi l'url de ton forum?

 
je trouve aussi, et c'est ce que je fais aussi

c'est un forum privé.

un numero unique par ordi c'est pas possible, tu te rapelle pas le coup des PIII? tu veut vraiment etre fichée a jamais?

youdontcare a écrit a écrit : c'est un forum privé.

ok, mais je suis quand même très suspicieux quans au fait que le mdp ne se voient jamais sur ton forum. Sauf si il faut l'indiquer a chaque message, mais c'est justement ca que l'on essaye d'éviter.

le mot de passe encrypté dans le cookie te permet évidemment de lire les messages et d'en poster. tu ne pourras pas voir le mot de passe, c'est tout. sinon, la date d'expiration est plutôt courte et on peut choisir de se logger avec un cookie ne durant que le temps de vie du navigateur. c'est évidemment pas le top, mais c'est toujours mieux qu'un pass en clair ...

youdontcare a écrit a écrit : le mot de passe encrypté dans le cookie te permet évidemment de lire les messages et d'en poster. tu ne pourras pas voir le mot de passe, c'est tout. sinon, la date d'expiration est plutôt courte et on peut choisir de se logger avec un cookie ne durant que le temps de vie du navigateur. c'est évidemment pas le top, mais c'est toujours mieux qu'un pass en clair ...

ok, dans ce cas la c'est correct, c'est vrai que je pourrais crypter le mdp dans le cookie sans que cela me gène vu que j'utilise des sessions.

speedyop> justement j'y pensais au PIII
 
avec les sessions c'est plus simple
lorsque l'utilisateur arrive sur ton site, il est identifié par un numéro de session unique.  Il entre son login et pwd, tu inscrit son id dans une table des utilisateurs enregistrés si tout est correct.  ensuite il suffit de vérifier son numéro de sesion pour savoir qui il est
pour plus de sécurité, tu peux aussi lui envoyer un coockie avec un numéro généré et crypté que tu stockes aussi dans la table des utilisateurs connectés.  A chaque accès tu vérifies sa session et son coockie.
Dans ce cas, la seule chose que tu envoies, c'est le login+pwd une seule fois à la connexion, et puis ne transitent plus que le numéro généré dans le coockie.
Là il en faut qd même bcp pour trouver une faille : à moins d'avoir le coockie et le numéro de session pendant le temps de sa validité.  Si tu veux encore plus de sécu, tu fais le tout en https
 
Mais à je me rends compte que je vire à la paranoia  

pour info je ne crypte pas les mots de passe... les cookies étant deja cryptées ...

ethernal a écrit a écrit : speedyop> justement j'y pensais au PIII   avec les sessions c'est plus simple lorsque l'utilisateur arrive sur ton site, il est identifié par un numéro de session unique.  Il entre son login et pwd, tu inscrit son id dans une table des utilisateurs enregistrés si tout est correct.  ensuite il suffit de vérifier son numéro de sesion pour savoir qui il est pour plus de sécurité, tu peux aussi lui envoyer un coockie avec un numéro généré et crypté que tu stockes aussi dans la table des utilisateurs connectés.  A chaque accès tu vérifies sa session et son coockie. Dans ce cas, la seule chose que tu envoies, c'est le login+pwd une seule fois à la connexion, et puis ne transitent plus que le numéro généré dans le coockie. Là il en faut qd même bcp pour trouver une faille : à moins d'avoir le coockie et le numéro de session pendant le temps de sa validité.  Si tu veux encore plus de sécu, tu fais le tout en https   Mais à je me rends compte que je vire à la paranoia

Sur mon chat, j'utilise numéro de session et IP + une duré de 15 minutes pour la validité de la session entre 2 refresh (comme il y a plusieurs refresh par minutes, ils restent conecté tant qu'ils sont en ligne) et uen variable "êtat de session" pour qu'ils puissent ce déconecté manuellement, je trouve que c'est sufisant.
Pour le moment, aucun piratage de compte détecté.

Pour info, tout les cookies ne sont pas cripter, d'abord, il faut le préciser au navigateur qu'on veux un criptage(soit au niveaux du serveur soit au niveaux de ton code), ensuite il faut que le navigateur accepte de les cripter.
Sur mon PC personnel, j'ai un bon nombre de cookies non cripter.

[edtdd]--Message édité par omega2--[/edtdd]

ah ok... bon je vais revoir ca ...
mais bon je pense que ct deja crypté ...