Communiquer avec un site HTTPS de façon sécurisée [Résolu]

cocodu67... 3040 Messages postés jeudi 28 janvier 2010Date d'inscription 1 avril 2018 Dernière intervention - 15 juil. 2017 à 20:52 - Dernière réponse : KX 15359 Messages postés samedi 31 mai 2008Date d'inscriptionModérateurStatut 18 avril 2018 Dernière intervention
- 17 juil. 2017 à 23:08
Bonsoir,

J'ai créé un logiciel qui permet de se connecter à un jeu. Mon logiciel est un .exe et le jeu un autre .exe

Le problème est qu'on ne sait si on s'est trompé dans le mot de passe qu'une fois que le jeu a tenté de se lancer, ce qui n'est pas pratique. Je souhaite donc savoir s'il est possible de faire la vérification à partir du logiciel C# que j'ai fais.

J'ai pensé à une solution:
Lors de la saisie de l'identifiant et du mot de passe, le mot de passe est hashé en sha512 comme dans la base de données du site. Ensuite une page PHP est appelée comme ceci: verification.php?id=hello&motdepasse=z5d5fg5h4g4f5vfg5g55555555fg6zrere5fd58g58 bref le mot de passe en sha512 et ensuite via le logiciel C# je récupère ce qui est affiché par la page, soit OK, soit PAS OK et en fonction de cela je lance ou pas le jeu.

Le problème est que je ne sais pas si la communication entre le logiciel et le site est sécurisée, sachant que le site est en HTTPS.

Qu'en pensez vous ?

Merci d'avance
Afficher la suite 

5 réponses

Répondre au sujet
KX 15359 Messages postés samedi 31 mai 2008Date d'inscriptionModérateurStatut 18 avril 2018 Dernière intervention - 15 juil. 2017 à 21:27
0
Utile
4
Bonjour,

Si le mot de passe est transmis en paramètre de la requête ce n'est pas sécurisé, il faut que ça passe dans le contenu du POST qui sera chiffré avec la communication en HTTPS.
cocodu67... 3040 Messages postés jeudi 28 janvier 2010Date d'inscription 1 avril 2018 Dernière intervention - 17 juil. 2017 à 18:43
Bonsoir,

Ah il suffit de faire un post, d'accord merci beaucoup.

Bonne fin de journée
KX 15359 Messages postés samedi 31 mai 2008Date d'inscriptionModérateurStatut 18 avril 2018 Dernière intervention > cocodu67... 3040 Messages postés jeudi 28 janvier 2010Date d'inscription 1 avril 2018 Dernière intervention - 17 juil. 2017 à 18:51
Je n'ai pas dit qu'il suffisait de faire un POST pour que ce soit sécurisé.
Je dis juste que mettre le mot de passe en query param était une faille flagrante (et il en suffit d'une pour montrer que ce n'est pas sécurisé).

Et même si le mot de passe est bien dans le body, ça ne suffit pas à dire que c'est effectivement correct... Un des moyens de le savoir c'est d'installer un Wireshark ou logiciel équivalent et regarder les requêtes qui passent pour vérifier si elles sont lisibles ou non.

Remarque : à ce niveau là, le sha512 ne sert à rien, il serait plus pertinent que ce soit le serveur qui fasse cette empreinte, pas le client.
cocodu67... 3040 Messages postés jeudi 28 janvier 2010Date d'inscription 1 avril 2018 Dernière intervention > KX 15359 Messages postés samedi 31 mai 2008Date d'inscriptionModérateurStatut 18 avril 2018 Dernière intervention - 17 juil. 2017 à 22:05
Ah d'accord donc carrément faire le post avec le mot de passe en clair. Je vous remercie pour votre aide.
KX 15359 Messages postés samedi 31 mai 2008Date d'inscriptionModérateurStatut 18 avril 2018 Dernière intervention > cocodu67... 3040 Messages postés jeudi 28 janvier 2010Date d'inscription 1 avril 2018 Dernière intervention - 17 juil. 2017 à 23:08
Si tu es en HTTPS le contenu du body ne sera pas en clair, il sera chiffré, contrairement aux query param qui apparaîtront toujours en clair, même en https.
Commenter la réponse de KX

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.