Communiquer avec un site HTTPS de façon sécurisée

Résolu
cocodu67... Messages postés 3160 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 9 mai 2024 - Modifié le 15 juil. 2017 à 20:53
KX Messages postés 16735 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mai 2024 - 17 juil. 2017 à 23:08
Bonsoir,

J'ai créé un logiciel qui permet de se connecter à un jeu. Mon logiciel est un .exe et le jeu un autre .exe

Le problème est qu'on ne sait si on s'est trompé dans le mot de passe qu'une fois que le jeu a tenté de se lancer, ce qui n'est pas pratique. Je souhaite donc savoir s'il est possible de faire la vérification à partir du logiciel C# que j'ai fais.

J'ai pensé à une solution:
Lors de la saisie de l'identifiant et du mot de passe, le mot de passe est hashé en sha512 comme dans la base de données du site. Ensuite une page PHP est appelée comme ceci: verification.php?id=hello&motdepasse=z5d5fg5h4g4f5vfg5g55555555fg6zrere5fd58g58 bref le mot de passe en sha512 et ensuite via le logiciel C# je récupère ce qui est affiché par la page, soit OK, soit PAS OK et en fonction de cela je lance ou pas le jeu.

Le problème est que je ne sais pas si la communication entre le logiciel et le site est sécurisée, sachant que le site est en HTTPS.

Qu'en pensez vous ?

Merci d'avance

1 réponse

KX Messages postés 16735 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mai 2024 127
15 juil. 2017 à 21:27
Bonjour,

Si le mot de passe est transmis en paramètre de la requête ce n'est pas sécurisé, il faut que ça passe dans le contenu du POST qui sera chiffré avec la communication en HTTPS.
0
cocodu67... Messages postés 3160 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 9 mai 2024 1
17 juil. 2017 à 18:43
Bonsoir,

Ah il suffit de faire un post, d'accord merci beaucoup.

Bonne fin de journée
0
KX Messages postés 16735 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mai 2024 127 > cocodu67... Messages postés 3160 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 9 mai 2024
Modifié le 17 juil. 2017 à 19:16
Je n'ai pas dit qu'il suffisait de faire un POST pour que ce soit sécurisé.
Je dis juste que mettre le mot de passe en query param était une faille flagrante (et il en suffit d'une pour montrer que ce n'est pas sécurisé).

Et même si le mot de passe est bien dans le body, ça ne suffit pas à dire que c'est effectivement correct... Un des moyens de le savoir c'est d'installer un Wireshark ou logiciel équivalent et regarder les requêtes qui passent pour vérifier si elles sont lisibles ou non.

Remarque : à ce niveau là, le sha512 ne sert à rien, il serait plus pertinent que ce soit le serveur qui fasse cette empreinte, pas le client.
0
cocodu67... Messages postés 3160 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 9 mai 2024 1 > KX Messages postés 16735 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mai 2024
17 juil. 2017 à 22:05
Ah d'accord donc carrément faire le post avec le mot de passe en clair. Je vous remercie pour votre aide.
0
KX Messages postés 16735 Date d'inscription samedi 31 mai 2008 Statut Modérateur Dernière intervention 17 mai 2024 127 > cocodu67... Messages postés 3160 Date d'inscription jeudi 28 janvier 2010 Statut Membre Dernière intervention 9 mai 2024
17 juil. 2017 à 23:08
Si tu es en HTTPS le contenu du body ne sera pas en clair, il sera chiffré, contrairement aux query param qui apparaîtront toujours en clair, même en https.
0
Rejoignez-nous