Forcer l'identification à chaque tentative d'ouverture d'une page

Signaler
Messages postés
7
Date d'inscription
jeudi 31 janvier 2008
Statut
Membre
Dernière intervention
15 avril 2008
-
Messages postés
7
Date d'inscription
jeudi 31 janvier 2008
Statut
Membre
Dernière intervention
15 avril 2008
-
Bonjour tlm!

Voila j'ai un pb avec mon site, je m'explique:

J'ai un ensemble de page accessibles librement (public)  et un autre ensemble (admin) protégé par un .haccess.
Pour acceder a cet espace admin g créé un bouton connexion qui renvoie vers le dossier admin, donc le user doit entrer son login/mdp.

Jusqu'ici, tout va bien....

Le pb, c'est que ses identifiants restent stockés dans le cache (je suppose) donc si un utilisateur enregistré utilise un ordinateur public, ca aura pour effet que s'il se déconnecte/reconnecte, il n'est plus obligé de renseigner ses identifiants! donc si qq1 passe derriere lui, il lui suffit de cliquer sur connexion et hop! il se retrouve dans la session du user précédent, sans avoir a entrer ni login, ni mdp!!!
Vous imaginez la faille de sécurité énorme!!!

Donc, je voudrais savoir si il y a une solution a ce problème, ou si je dois changer carrement le systeme de sécurité
(utiliser les sessions par ex.)

Merci d'avance pour votre aide...

DazZ, le gros noob

3 réponses

Messages postés
7
Date d'inscription
jeudi 31 janvier 2008
Statut
Membre
Dernière intervention
15 avril 2008

Ah oui j'oubliais, mais j'ai deja essayé de mettre les balises meta du genre "cache-control,  no-cache" mais rien n'y fait, je peux toujours me reconnecter sans m'idendifier....

J'ai aussi tenter de réinitialiser la variable php qui contient le login .htaccess
( $_SERVER[PHP_AUTH_USER] = " "; ) , sans succès....


 


Pleeeeaaase Heeeeeeeeeeeeeelp!!!


 





DazZ, le gros noob
Messages postés
962
Date d'inscription
samedi 19 janvier 2002
Statut
Membre
Dernière intervention
2 août 2010
1
Salut,

En théorie dès que le navigateur est fermé la personne est déconnecté. Sinon il faut vider le cache du navigateur, il n'y a pas de solution miracle.

Plus d'infos la doc apache: http://httpd.apache.org/docs/1.3/howto/auth.html

QUOTE (en rose sous ligné les passages qui s'appliquent à toi):

How do I log out?
Since browsers first started implementing basic
authentication, website administrators have wanted to know how
to let the user log out. Since the browser caches the username
and password with the authentication realm, as described
earlier in this tutorial, this is not a function of the server
configuration, but is a question of getting the browser to
forget the credential information, so that the next time the
resource is requested, the username and password must be
supplied again. There are numerous situations in which this is
desirable, such as when using a browser in a public location,
and not wishing to leave the browser logged in, so that the
next person can get into your bank account.

However, although this is perhaps the most frequently asked
question about basic authentication, thus far none of the major
browser manufacturers have seen this as being a desirable
feature to put into their products.

Consequently, the answer to this question is, you can't.
Sorry.

-------------------
Vous cherchez un hebergement Php/MySQL Gratuit et sans publicités ??
Et bien c'est la : www.e3b.org  
Messages postés
7
Date d'inscription
jeudi 31 janvier 2008
Statut
Membre
Dernière intervention
15 avril 2008

Slt!

Au vu de la derniere ligne, je suppose que cela ne m'aidera pas bcp mais je te remercie qd meme pour ta réponse, au moins je suis fixé maintenant.

De toute façon j'ai fini par contourner le pb en créant une session php, donc mnt c reglé....

@+

DazZ