Communiquer avec un site HTTPS de façon sécurisée

Résolu

cocodu67... Messages postés 3152 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 5 janvier 2023 - Modifié le 15 juil. 2017 à 20:53
KX Messages postés 16705 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 5 juin 2023 - 17 juil. 2017 à 23:08

Bonsoir,

J'ai créé un logiciel qui permet de se connecter à un jeu. Mon logiciel est un .exe et le jeu un autre .exe

Le problème est qu'on ne sait si on s'est trompé dans le mot de passe qu'une fois que le jeu a tenté de se lancer, ce qui n'est pas pratique. Je souhaite donc savoir s'il est possible de faire la vérification à partir du logiciel C# que j'ai fais.

J'ai pensé à une solution:
Lors de la saisie de l'identifiant et du mot de passe, le mot de passe est hashé en sha512 comme dans la base de données du site. Ensuite une page PHP est appelée comme ceci: verification.php?id=hello&motdepasse=z5d5fg5h4g4f5vfg5g55555555fg6zrere5fd58g58 bref le mot de passe en sha512 et ensuite via le logiciel C# je récupère ce qui est affiché par la page, soit OK, soit PAS OK et en fonction de cela je lance ou pas le jeu.

Le problème est que je ne sais pas si la communication entre le logiciel et le site est sécurisée, sachant que le site est en HTTPS.

Qu'en pensez vous ?

Merci d'avance

A voir également:

C# https
Https/ww.fdjeux.com - Forum Visual Basic
Php fopen https - Forum PHP
Https 302 ✓ - Forum PHP
Requet HTTPS avec un certificat - Forum C# / .NET
Tomcat https ✓ - Forum Java

1 réponse

Réponse 1 / 1

KX Messages postés 16705 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 5 juin 2023 126
15 juil. 2017 à 21:27

Bonjour,

Si le mot de passe est transmis en paramètre de la requête ce n'est pas sécurisé, il faut que ça passe dans le contenu du POST qui sera chiffré avec la communication en HTTPS.

cocodu67... Messages postés 3152 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 5 janvier 2023 1
17 juil. 2017 à 18:43

Bonsoir,

Ah il suffit de faire un post, d'accord merci beaucoup.

Bonne fin de journée

KX Messages postés 16705 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 5 juin 2023 126 > cocodu67... Messages postés 3152 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 5 janvier 2023
Modifié le 17 juil. 2017 à 19:16

Je n'ai pas dit qu'il suffisait de faire un POST pour que ce soit sécurisé.
Je dis juste que mettre le mot de passe en query param était une faille flagrante (et il en suffit d'une pour montrer que ce n'est pas sécurisé).

Et même si le mot de passe est bien dans le body, ça ne suffit pas à dire que c'est effectivement correct... Un des moyens de le savoir c'est d'installer un Wireshark ou logiciel équivalent et regarder les requêtes qui passent pour vérifier si elles sont lisibles ou non.

Remarque : à ce niveau là, le sha512 ne sert à rien, il serait plus pertinent que ce soit le serveur qui fasse cette empreinte, pas le client.

cocodu67... Messages postés 3152 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 5 janvier 2023 1 > KX Messages postés 16705 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 5 juin 2023
17 juil. 2017 à 22:05

Ah d'accord donc carrément faire le post avec le mot de passe en clair. Je vous remercie pour votre aide.

Si tu es en HTTPS le contenu du body ne sera pas en clair, il sera chiffré, contrairement aux query param qui apparaîtront toujours en clair, même en https.

Votre réponse