cs_hdh
Messages postés140Date d'inscriptionmardi 3 juin 2003StatutMembreDernière intervention20 août 2012
-
18 août 2005 à 08:59
malik7934
Messages postés1154Date d'inscriptionmardi 9 septembre 2003StatutMembreDernière intervention15 août 2009
-
18 août 2005 à 10:55
Bonjour !
Content que j'étais des réponses données aux précédentes questions posées sur le forum.... je vous soumet celle ci !
Un webmaster me propose un partenariat avec mon petit site (sympa non ??)
....mais des deux côtés il y a une identification : nous voudrions permettre à l'internaute de passer d'un site à l'autre sans avoir à se relogger (il est chez free et moi chez nuxit).
Ma demande est donc du conseil : le seul moyen de faire passer une info d'un serveur à un autre se fait par l'url (beacause le post ne fonctionne pas ?? heein ??) mais je ne trouve pas cela terrible comme sécurité...
D'autres pistes aux quelles j'ai pensé.... mais suis pas certain qu'elles soient sui viables que cela :
- Possibilité d'encoder l'url ?? avec une bonne vieille clé
- Iframe chez le partenaire appelant mon site dans le quel je stockerai mon identification
- un iframe de chez moi dépose chez lui un cookie (un cookie à moi quoi) ... qui sera lu chez moi à son arrivée (l'arrivée de l'internaute.... pas du webmaster...:-))
-.... euh je sèche là... pas d'autre idée
vous en pensez quoi ????????????????? à mon avis je suis pas le seul à me poser ce genre de question... mais zarrive pas à trouver d'info...
as usual : au grand plaisir de vous lire : si vous avez des préco, des idées... ou des contre-idées je suis bien sur intéressé !!
malik7934
Messages postés1154Date d'inscriptionmardi 9 septembre 2003StatutMembreDernière intervention15 août 200917 18 août 2005 à 09:46
Pour ma part, j'utiliserais quand meme l'url, a la Yahoo
Explications: sur le site A, Bob se loggue avec le username bob et le mpd prout. En meme temps (en affichant la page d'identification), le site A a genere un nombre aleatoire, un challenge.
Lorsque Bob clique pour se logguer, il envoit en meme temps a ton site le challenge, son login et son mdp hashe genre $pwd = md5(md5('prout').$challenge)). Avec le challenge, ce sera jamais la meme chose qui est envoye.
Toi, tu recuperes ca sur le site B, tu prends le challenge, recuperes le hash du pwd que tu dois avoir dans ta bd, tu concates le challenge et hash le truc et si ca coincide, c'est bon, tu ouvres la session.
Tu peux aussi stocker le tout dans un cookie, c'est plus discret et les deux sites ensuite utiliseraient le meme cookie (si c'est possible)
Sinon reste les socket et les fonctions CURL si tu veux passer "par derriere"...
cs_hdh
Messages postés140Date d'inscriptionmardi 3 juin 2003StatutMembreDernière intervention20 août 2012 18 août 2005 à 10:06
Grand merci pour ta réponse :
Tu peux aussi stocker le tout dans un cookie, c'est plus discret et les deux sites ensuite utiliseraient le meme cookie (si c'est possible)
=> je pensais que seul le site éméteur pouvait lire son cookie ??? me trompe -je ??
Sinon reste les socket et les fonctions CURL si tu veux passer "par derriere"...
=> oulallalla connais pas ce truc là... c'est facile ou pas ??
hashe genre $pwd md5(md5('prout').$challenge)).> je connais juste de nom mais n'ai jamais utilisé :
- c'est compatible partout ce truc ??
- j'imagine que c'est du mm style encodedage/decodage qu'urlencode... c'est ca ??
Ai pas trop compris pour le challenge : il est généré par B, stocké dans ma bdd et à l'arrivée de Bob je regarde s'il existe dans la bdd ?? c'est bien cela ??
Because moi je pensais qu'on ne pouvais avoir accès à un bdd que si elle était sur le mm serveur (euh là je crois que j'ai fais une remarque de newbie....non ?? )
merci encore pr ton aide : ze vais me documenter sur md5 !
malik7934
Messages postés1154Date d'inscriptionmardi 9 septembre 2003StatutMembreDernière intervention15 août 200917 18 août 2005 à 10:23
1/ Je crois que pour les cookies que tu as raison
2/ C'est pas vraiment trivial disons
3/ md5, ca passe partout et c'est ESSENTIEL! Au lieu de stocker le passwd en clair, tu stockes le hash, comme ca t'es surt que si qqun pirate ta base de donnees, il ne peut pas utiliser les passwd qu'il trouve!
Ca n'a rien a voir avec encodage decodage puisque c'est justement fait pour pas etre decodable... regarde un peu sur le net. Un espace membre digne de confiance utilise md5... ceux qui gardent les mots de passe en clair... ben je m'en mefie
4/ pour le challenge: je recommence....
Sur le site A, quand Bob se loggue sur l'url www.A.com/login.php, le script login.php genere en meme temps un challenge, un nombre aleatoire par exemple de 8 chiffres... 84629640 voila, on dira que c'est ca Il le stocke en memoire, ou il veut, on s'en fout c'est son probleme. quoi qu'il en soit il faut que ce chiffre soit lie a Bob.
Arrive sur ton site, toi tu recuperes l'URL. 2 possibilites: 1/ tu as la meme base de donnees pour les membres que ton pote (tu peux pas ouvrir une base de donnees d'un autre) OU ton pote conserves les donnees login/passwd dans un fichier texte accessible (attention a la structure, il faut dans ce cas qu'il conserve la hash des passwd)
Toi tu recuperes l'url entrante ($_SERVER blabla), tu prends le challenge, tu le concatenes aux (hash du) password dans la bd ou le fichier texte a distance, tu hash et tu compares a ndue830olsp352y490jrn8hap01nvo9 que tu as recu dans l'url. Si ca coincide, tu ouvres la sessions.
Voila. la je t'ai tout dis en details! Si tu comprends pas... ben fouill eun peu le net car visiblement il te manque qqs bases (comme l'utilisation de md5)
cs_hdh
Messages postés140Date d'inscriptionmardi 3 juin 2003StatutMembreDernière intervention20 août 2012 18 août 2005 à 10:41
bin pitin : effet pour ce qui est du md5 ca a l'air top !
Je vais me pencher sur la question.... je te tiens au courant.
C'est un message vraiment court -comparé à ton explication- pour te remercier pour ton aide mais le coeur y est...
Je vais me lancer dans la lecture du md5 (et poster ici qqs urls que j'aurai plus trouver !)
encore merci & a+
H
Vous n’avez pas trouvé la réponse que vous recherchez ?