cs_caviar
Messages postés329Date d'inscriptionsamedi 4 janvier 2003StatutMembreDernière intervention29 mars 2015
-
10 nov. 2006 à 11:09
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 2012
-
13 nov. 2006 à 13:41
salut ...
j'ai eu une idée pour sécuriser une administration d'un site ...
au login on stocke une variable de session .. mais bon on sait que le vol de session est possible ... donc l'idée serait de stocker différents paramètres systèmes de l'utilisateur comme la résolution d'écran, se système d'exploitation (genre ce qu'on trouve ici http://www.phpmyvisites.net/phpmv2/index.php?site=1&date=2006-11-09&period=1&mod=view_settings#a1)
ensuite on teste sur chaque page si aucun de ces paramètres n'a changé on considère que c'est toujours le même user ... on ajoute à ça un cookie + une authentification par htaccess et ça devrai être bon ...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 11 nov. 2006 à 13:23
Salut,
le vol de session est possible, mais c'est bien compliqué ;)
Ce que tu peux faire, si tes sessions se basent uniquement sur les cookies, c'est créer un cookie avec la fonction setcookie() qui contiendra un code aléatoire. Tu mets ce même code dans une variable de session mettons $_SESSION['code']. Chaque visiteur aura un code unique donc. Ce que tu peux faire, c'est comparer les deux codes, ceux présents sur les cookies du visiteur, et celui présent sur le serveur via $_SESSION['code']. Comme ça même si l'id de session est volé, ça ne passera pas. Après le visiteur peut toujours se faire avoir via les cookies si une faille de sécu sur ton site est présente, mais là je pense qu'on approche trop le mode parano ;)
cs_caviar
Messages postés329Date d'inscriptionsamedi 4 janvier 2003StatutMembreDernière intervention29 mars 20152 10 nov. 2006 à 16:39
lol
le truc c'est qu'il vas y avoir plusieurs admins sur cette interface ... avec chacun des droits d'accès à certaines rubriques ... et comme ça irra du technicien à l'ingé réseau .... je fais moyennement confiance au htaccess ...
si c'était que moi tout mes mots de passe sont bien au chaud dans mon cerveau ;)
++
cs_caviar
Messages postés329Date d'inscriptionsamedi 4 janvier 2003StatutMembreDernière intervention29 mars 20152 11 nov. 2006 à 23:29
lol ouai ...c'est pas non plus les données de la nasa que je veux sécuriser ... mais c'est quand même des données d'une boite avec tous les clients + boutique en ligne ....
je tiens à être quand même costaud sur les authentifications ;)
++ et merci
juki_webmaster
Messages postés947Date d'inscriptionmercredi 19 novembre 2003StatutMembreDernière intervention 5 avril 20083 12 nov. 2006 à 11:59
Et puis histoire ne pas ce faire voler son cookie par une petite faille XSS, et si ton hebergeur dispose de PHP >= 5.2 ou PHP 6, utilise les cookies HttpOnly.
younes371
Messages postés502Date d'inscriptionmercredi 29 décembre 2004StatutMembreDernière intervention20 mars 2012 13 nov. 2006 à 00:02
Bonjour,
moi ce que je vous demande, c est un simple conseil pour mon site web,
alors :
je veux faire un site pour des membres qui se connectent a mon site web .
Question : comment faire pour afficher les pages du site avec les informations du memebre connecté?
je sais que c est facile, mais je demande la meilleur conception, de base de données et de securité .
Merci d'avance