Communiquer avec un site HTTPS de façon sécurisée [Résolu]

Messages postés
3056
Date d'inscription
jeudi 28 janvier 2010
Dernière intervention
10 novembre 2018
- 15 juil. 2017 à 20:52 - Dernière réponse :
Messages postés
15827
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
18 novembre 2018
- 17 juil. 2017 à 23:08
Bonsoir,

J'ai créé un logiciel qui permet de se connecter à un jeu. Mon logiciel est un .exe et le jeu un autre .exe

Le problème est qu'on ne sait si on s'est trompé dans le mot de passe qu'une fois que le jeu a tenté de se lancer, ce qui n'est pas pratique. Je souhaite donc savoir s'il est possible de faire la vérification à partir du logiciel C# que j'ai fais.

J'ai pensé à une solution:
Lors de la saisie de l'identifiant et du mot de passe, le mot de passe est hashé en sha512 comme dans la base de données du site. Ensuite une page PHP est appelée comme ceci: verification.php?id=hello&motdepasse=z5d5fg5h4g4f5vfg5g55555555fg6zrere5fd58g58 bref le mot de passe en sha512 et ensuite via le logiciel C# je récupère ce qui est affiché par la page, soit OK, soit PAS OK et en fonction de cela je lance ou pas le jeu.

Le problème est que je ne sais pas si la communication entre le logiciel et le site est sécurisée, sachant que le site est en HTTPS.

Qu'en pensez vous ?

Merci d'avance
Afficher la suite 

Votre réponse

5 réponses

Messages postés
15827
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
18 novembre 2018
- 15 juil. 2017 à 21:27
0
Merci
Bonjour,

Si le mot de passe est transmis en paramètre de la requête ce n'est pas sécurisé, il faut que ça passe dans le contenu du POST qui sera chiffré avec la communication en HTTPS.
Messages postés
3056
Date d'inscription
jeudi 28 janvier 2010
Dernière intervention
10 novembre 2018
- 17 juil. 2017 à 18:43
Bonsoir,

Ah il suffit de faire un post, d'accord merci beaucoup.

Bonne fin de journée
Messages postés
15827
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
18 novembre 2018
>
Messages postés
3056
Date d'inscription
jeudi 28 janvier 2010
Dernière intervention
10 novembre 2018
- 17 juil. 2017 à 18:51
Je n'ai pas dit qu'il suffisait de faire un POST pour que ce soit sécurisé.
Je dis juste que mettre le mot de passe en query param était une faille flagrante (et il en suffit d'une pour montrer que ce n'est pas sécurisé).

Et même si le mot de passe est bien dans le body, ça ne suffit pas à dire que c'est effectivement correct... Un des moyens de le savoir c'est d'installer un Wireshark ou logiciel équivalent et regarder les requêtes qui passent pour vérifier si elles sont lisibles ou non.

Remarque : à ce niveau là, le sha512 ne sert à rien, il serait plus pertinent que ce soit le serveur qui fasse cette empreinte, pas le client.
Messages postés
3056
Date d'inscription
jeudi 28 janvier 2010
Dernière intervention
10 novembre 2018
>
Messages postés
15827
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
18 novembre 2018
- 17 juil. 2017 à 22:05
Ah d'accord donc carrément faire le post avec le mot de passe en clair. Je vous remercie pour votre aide.
Messages postés
15827
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
18 novembre 2018
>
Messages postés
3056
Date d'inscription
jeudi 28 janvier 2010
Dernière intervention
10 novembre 2018
- 17 juil. 2017 à 23:08
Si tu es en HTTPS le contenu du body ne sera pas en clair, il sera chiffré, contrairement aux query param qui apparaîtront toujours en clair, même en https.
Commenter la réponse de KX

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.