[phpBB] chuis un peu dégouté...

Recherche :

Dernière réponse

Sujet : [phpBB] chuis un peu dégouté...

skylight

omega2 a écrit a écrit :

Pour info, tout les cookies ne sont pas cripter, d'abord, il faut le préciser au navigateur qu'on veux un criptage(soit au niveaux du serveur soit au niveaux de ton code), ensuite il faut que le navigateur accepte de les cripter.
Sur mon PC personnel, j'ai un bon nombre de cookies non cripter.

ah ok... bon je vais revoir ca ...
mais bon je pense que ct deja crypté ...

Votre réponse

Nom d'utilisateur

Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !

Le ton de votre message

Votre réponse

Smilies

Liste des smilies perso
Wiki smilies
Chercher un smiley

Options

Activer votre signature
Désactiver les smilies
Activer la notification par email du sujet

Aperçu

Vous avez perdu votre mot de passe ?

Vue Rapide de la discussion

skylight

ah ok... bon je vais revoir ca ...
mais bon je pense que ct deja crypté ...

omega2

skylight a écrit a écrit :

pour info je ne crypte pas les mots de passe... les cookies étant deja cryptées ...

Pour info, tout les cookies ne sont pas cripter, d'abord, il faut le préciser au navigateur qu'on veux un criptage(soit au niveaux du serveur soit au niveaux de ton code), ensuite il faut que le navigateur accepte de les cripter.
Sur mon PC personnel, j'ai un bon nombre de cookies non cripter.

[edtdd]--Message édité par omega2--[/edtdd]

omega2

ethernal a écrit a écrit :

speedyop> justement j'y pensais au PIII :D

avec les sessions c'est plus simple ;)
lorsque l'utilisateur arrive sur ton site, il est identifié par un numéro de session unique. Il entre son login et pwd, tu inscrit son id dans une table des utilisateurs enregistrés si tout est correct. ensuite il suffit de vérifier son numéro de sesion pour savoir qui il est ;)
pour plus de sécurité, tu peux aussi lui envoyer un coockie avec un numéro généré et crypté que tu stockes aussi dans la table des utilisateurs connectés. A chaque accès tu vérifies sa session et son coockie.
Dans ce cas, la seule chose que tu envoies, c'est le login+pwd une seule fois à la connexion, et puis ne transitent plus que le numéro généré dans le coockie.
Là il en faut qd même bcp pour trouver une faille : à moins d'avoir le coockie et le numéro de session pendant le temps de sa validité. Si tu veux encore plus de sécu, tu fais le tout en https :D

Mais à je me rends compte que je vire à la paranoia :ouch:

Sur mon chat, j'utilise numéro de session et IP + une duré de 15 minutes pour la validité de la session entre 2 refresh (comme il y a plusieurs refresh par minutes, ils restent conecté tant qu'ils sont en ligne) et uen variable "êtat de session" pour qu'ils puissent ce déconecté manuellement, je trouve que c'est sufisant. :)
Pour le moment, aucun piratage de compte détecté. ;)

skylight

pour info je ne crypte pas les mots de passe... les cookies étant deja cryptées ...

ethernal

speedyop> justement j'y pensais au PIII :D

avec les sessions c'est plus simple ;)
lorsque l'utilisateur arrive sur ton site, il est identifié par un numéro de session unique. Il entre son login et pwd, tu inscrit son id dans une table des utilisateurs enregistrés si tout est correct. ensuite il suffit de vérifier son numéro de sesion pour savoir qui il est ;)
pour plus de sécurité, tu peux aussi lui envoyer un coockie avec un numéro généré et crypté que tu stockes aussi dans la table des utilisateurs connectés. A chaque accès tu vérifies sa session et son coockie.
Dans ce cas, la seule chose que tu envoies, c'est le login+pwd une seule fois à la connexion, et puis ne transitent plus que le numéro généré dans le coockie.
Là il en faut qd même bcp pour trouver une faille : à moins d'avoir le coockie et le numéro de session pendant le temps de sa validité. Si tu veux encore plus de sécu, tu fais le tout en https :D

Mais à je me rends compte que je vire à la paranoia :ouch:

gizmo

youdontcare a écrit a écrit :

:??: le mot de passe encrypté dans le cookie te permet évidemment de lire les messages et d'en poster. tu ne pourras pas voir le mot de passe, c'est tout. sinon, la date d'expiration est plutôt courte et on peut choisir de se logger avec un cookie ne durant que le temps de vie du navigateur. c'est évidemment pas le top, mais c'est toujours mieux qu'un pass en clair ...

ok, dans ce cas la c'est correct, c'est vrai que je pourrais crypter le mdp dans le cookie sans que cela me gène vu que j'utilise des sessions.

youdontcare

gizmo a écrit a écrit :

ok, mais je suis quand même très suspicieux quans au fait que le mdp ne se voient jamais sur ton forum. Sauf si il faut l'indiquer a chaque message, mais c'est justement ca que l'on essaye d'éviter.

:??: le mot de passe encrypté dans le cookie te permet évidemment de lire les messages et d'en poster. tu ne pourras pas voir le mot de passe, c'est tout. sinon, la date d'expiration est plutôt courte et on peut choisir de se logger avec un cookie ne durant que le temps de vie du navigateur. c'est évidemment pas le top, mais c'est toujours mieux qu'un pass en clair ...

gizmo

youdontcare a écrit a écrit :

:non: c'est un forum privé.

ok, mais je suis quand même très suspicieux quans au fait que le mdp ne se voient jamais sur ton forum. Sauf si il faut l'indiquer a chaque message, mais c'est justement ca que l'on essaye d'éviter.

youdontcare

ethernal a écrit a écrit :

je trouve aussi, et c'est ce que je fais aussi ;)

[:darkmavis]

speedyop

un numero unique par ordi c'est pas possible, tu te rapelle pas le coup des PIII? tu veut vraiment etre fichée a jamais?

youdontcare

gizmo a écrit a écrit :

c'est quoi l'url de ton forum?

:non: c'est un forum privé.

ethernal

youdontcare a écrit a écrit :

sur mon forum, tu ne peux jamais voir ton mot de passe, et il faut rentrer l'ancien pour en changer. je trouve que c'est le minimum.

je trouve aussi, et c'est ce que je fais aussi ;)

gizmo

youdontcare a écrit a écrit :

non, je ne fais pas confiance à ce forum. il fait partie des comptes "je m'en fous" si je perds mon pass. oui, le mot de passe en clair je trouve ça vraiment stupide, je n'en vois vraiment pas l'intérêt.

sur mon forum, tu ne peux jamais voir ton mot de passe, et il faut rentrer l'ancien pour en changer. je trouve que c'est le minimum.

c'est quoi l'url de ton forum?

gizmo

veryfree a écrit a écrit :

ce forum est en open source ?
y a un tutoriel pour apprendre al instalé ?

oui, il est open source et il y a un fichier qui explique comment l'installé (mais bon c'est loin d'être dificile)

ethernal

en fait il faudrait crypter dans le coockie le userid par exemple et un numéro unique pour la machine...
userid -> ok
numéro unique ?
- ip, non elle change
- l'adresse mac de la carte réseau ... hum y a moyen ? et puis l'usb fout tout en l'air :(
- le numéro de session, il change à chaque nouvelle fenêtre

je suis à court :(

speedyop

ce forum fait reference a phpbb po celui ci ou tu te trouve en ce moment

veryfree

gizmo a écrit a écrit :

je voulais voir un peu comment fonctionnait en détail ce forum, surtout pour les détails :D, et j'ai donc cherché comment ils comptait le temps de réalisation de la page.

Quelle déception! ils lancent leur compteur seulement APRES avoir fait la requète SQL, donc le compteur est complètement biaisé.

En plus je sais pas qui a penser a l'organisation de leurs tables, mais c'est pas la joie...

ce forum est en open source ?
y a un tutoriel pour apprendre al instalé ?

youdontcare

gizmo a écrit a écrit :

donc tu fais pas confiance a ce forum-ci. Le cookie est crypté, mais si tu le copie sur une autre machine, et que tu vas sur une page pour poster, le mdp est en clair dans la source.

non, je ne fais pas confiance à ce forum. il fait partie des comptes "je m'en fous" si je perds mon pass. oui, le mot de passe en clair je trouve ça vraiment stupide, je n'en vois vraiment pas l'intérêt.

sur mon forum, tu ne peux jamais voir ton mot de passe, et il faut rentrer l'ancien pour en changer. je trouve que c'est le minimum.

ethernal

un userid ... moui pq pas... mais ça change rien au problème, si on te le piques.

je pensais mettre le login dans un coockie et demander le pass chaque fois avec une session de 15 min. Le prob c'est qu'il faut que les utilisateurs se déloguent sinon, je me retrouve avec pleins de fichiers de sesions inutiles dans mon /tmp/ :(

speedyop

bah si y'a une clef dans le variable dans le fichier de conf

gizmo

speedyop a écrit a écrit :

on utilise souvent le emem mot de passe pour tout ses acces... moi j'ai opter pour mettre un userid crypté dans le cookie

crypt mycryp_encrypt
decrypt mycrypt_decrypt

si en plus une simple fonction sans clef peut le décrypter...

gizmo

youdontcare a écrit a écrit :

je n'aime pas laisser des mots de passe en clair, c'est tout - vu que j'utilise souvent les mêmes un peu partout ... là ce n'est qu'un cookie qui ne donne accès qu'à un truc.

donc tu fais pas confiance a ce forum-ci. Le cookie est crypté, mais si tu le copie sur une autre machine, et que tu vas sur une page pour poster, le mdp est en clair dans la source.

ethernal>> y a pas de solution sécurisé avec un cookie.

speedyop

on utilise souvent le emem mot de passe pour tout ses acces... moi j'ai opter pour mettre un userid crypté dans le cookie

crypt mycryp_encrypt
decrypt mycrypt_decrypt

[edtdd]--Message édité par speedyop--[/edtdd]

ethernal

oui et non ...
j'ai pas encore trouvé de solution fiable à part https + sessions (sans coockies)

que proposez vous comme solution la plus sécurisée ?

youdontcare

gizmo a écrit a écrit :

donc ca sert a rien, vu que si on sait voir le mdp en clair, c'est qu'on a acces au cookies, donc suffit de recopier tout le cookie et ton truc n'a plus aucun intérêt.

je n'aime pas laisser des mots de passe en clair, c'est tout - vu que j'utilise souvent les mêmes un peu partout ... là ce n'est qu'un cookie qui ne donne accès qu'à un truc.

gizmo

ethernal a écrit a écrit :

pas te faire choper ton pass par un sniffer

ca revient au même que de recopier le mdp crypté dans un cookie.