Conservation identification d'un site à un autre

Signaler
Messages postés
140
Date d'inscription
mardi 3 juin 2003
Statut
Membre
Dernière intervention
20 août 2012
-
Messages postés
1154
Date d'inscription
mardi 9 septembre 2003
Statut
Membre
Dernière intervention
15 août 2009
-
Bonjour !

Content que j'étais des réponses données aux précédentes questions posées sur le forum.... je vous soumet celle ci !

Un webmaster me propose un partenariat avec mon petit site (sympa non ??)
....mais des deux côtés il y a une identification : nous voudrions permettre à l'internaute de passer d'un site à l'autre sans avoir à se relogger
(il est chez free et moi chez nuxit).

Ma demande est donc du conseil : le seul moyen de faire passer une info d'un serveur à un autre se fait par l'url (beacause le post ne fonctionne pas ?? heein ??) mais je ne trouve pas cela terrible comme sécurité...

D'autres pistes aux quelles j'ai pensé.... mais suis pas certain qu'elles soient sui viables que cela :
- Possibilité d'encoder l'url ?? avec une bonne vieille clé
- Iframe chez le partenaire appelant mon site dans le quel je stockerai mon identification
- un iframe de chez moi dépose chez lui un cookie (un cookie à moi quoi) ... qui sera lu chez moi à son arrivée (l'arrivée de l'internaute.... pas du webmaster...:-))
-.... euh je sèche là... pas d'autre idée

vous en pensez quoi ????????????????? à mon avis je suis pas le seul à me poser ce genre de question... mais zarrive pas à trouver d'info...

as usual : au grand plaisir de vous lire : si vous avez des préco, des idées... ou des contre-idées je suis bien sur intéressé !!

a+
H

6 réponses

Messages postés
1154
Date d'inscription
mardi 9 septembre 2003
Statut
Membre
Dernière intervention
15 août 2009
17
Pour ma part, j'utiliserais quand meme l'url, a la Yahoo

Explications: sur le site A, Bob se loggue avec le username bob et le mpd prout. En meme temps (en affichant la page d'identification), le site A a genere un nombre aleatoire, un challenge.

Lorsque Bob clique pour se logguer, il envoit en meme temps a ton site le challenge, son login et son mdp hashe genre $pwd = md5(md5('prout').$challenge)). Avec le challenge, ce sera jamais la meme chose qui est envoye.

Toi, tu recuperes ca sur le site B, tu prends le challenge, recuperes le hash du pwd que tu dois avoir dans ta bd, tu concates le challenge et hash le truc et si ca coincide, c'est bon, tu ouvres la session.

Tu peux aussi stocker le tout dans un cookie, c'est plus discret et les deux sites ensuite utiliseraient le meme cookie (si c'est possible)

Sinon reste les socket et les fonctions CURL si tu veux passer "par derriere"...
Messages postés
140
Date d'inscription
mardi 3 juin 2003
Statut
Membre
Dernière intervention
20 août 2012

Grand merci pour ta réponse :

Tu peux aussi stocker le tout dans un cookie, c'est plus discret et les deux sites ensuite utiliseraient le meme cookie (si c'est possible)
=> je pensais que seul le site éméteur pouvait lire son cookie ??? me trompe -je ??

Sinon reste les socket et les fonctions CURL si tu veux passer "par derriere"...
=> oulallalla connais pas ce truc là... c'est facile ou pas ??
hashe genre $pwd md5(md5('prout').$challenge)).> je connais juste de nom mais n'ai jamais utilisé :
- c'est compatible partout ce truc ??
- j'imagine que c'est du mm style encodedage/decodage qu'urlencode... c'est ca ??
Ai pas trop compris pour le challenge : il est généré par B, stocké dans ma bdd et à l'arrivée de Bob je regarde s'il existe dans la bdd ?? c'est bien cela ??
Because moi je pensais qu'on ne pouvais avoir accès à un bdd que si elle était sur le mm serveur (euh là je crois que j'ai fais une remarque de newbie....non ?? )

merci encore pr ton aide : ze vais me documenter sur md5 !

a+

H
Messages postés
1154
Date d'inscription
mardi 9 septembre 2003
Statut
Membre
Dernière intervention
15 août 2009
17
1/ Je crois que pour les cookies que tu as raison
2/ C'est pas vraiment trivial disons
3/ md5, ca passe partout et c'est ESSENTIEL! Au lieu de stocker le passwd en clair, tu stockes le hash, comme ca t'es surt que si qqun pirate ta base de donnees, il ne peut pas utiliser les passwd qu'il trouve!
Ca n'a rien a voir avec encodage decodage puisque c'est justement fait pour pas etre decodable... regarde un peu sur le net. Un espace membre digne de confiance utilise md5... ceux qui gardent les mots de passe en clair... ben je m'en mefie
4/ pour le challenge: je recommence....
Sur le site A, quand Bob se loggue sur l'url www.A.com/login.php, le script login.php genere en meme temps un challenge, un nombre aleatoire par exemple de 8 chiffres... 84629640 voila, on dira que c'est ca Il le stocke en memoire, ou il veut, on s'en fout c'est son probleme. quoi qu'il en soit il faut que ce chiffre soit lie a Bob.

Ensuite il se balade sur le site A et voit un lien pour aller sur le site B. Le lien doit etre intelligemment construit: http://www.B.com/loginfromA.php?challenge=84629640&login=bob&passwd=ndue830olsp352y490jrn8hap01nvo9 par exple. A savoir qu'ici, 'ndue830olsp352y490jrn8hap01nvo9 ' est le resultat de md5(md5($passwd).$challenge)), avec $challenge = 84629640 et $passwd = le passwd de Bob.

Arrive sur ton site, toi tu recuperes l'URL. 2 possibilites: 1/ tu as la meme base de donnees pour les membres que ton pote (tu peux pas ouvrir une base de donnees d'un autre) OU ton pote conserves les donnees login/passwd dans un fichier texte accessible (attention a la structure, il faut dans ce cas qu'il conserve la hash des passwd)
Toi tu recuperes l'url entrante ($_SERVER blabla), tu prends le challenge, tu le concatenes aux (hash du) password dans la bd ou le fichier texte a distance, tu hash et tu compares a ndue830olsp352y490jrn8hap01nvo9 que tu as recu dans l'url. Si ca coincide, tu ouvres la sessions.

Voila. la je t'ai tout dis en details! Si tu comprends pas... ben fouill eun peu le net car visiblement il te manque qqs bases (comme l'utilisation de md5)

Enjoy, ++
Messages postés
140
Date d'inscription
mardi 3 juin 2003
Statut
Membre
Dernière intervention
20 août 2012

bin pitin : effet pour ce qui est du md5 ca a l'air top !
Je vais me pencher sur la question.... je te tiens au courant.
C'est un message vraiment court -comparé à ton explication- pour te remercier pour ton aide mais le coeur y est...
Je vais me lancer dans la lecture du md5 (et poster ici qqs urls que j'aurai plus trouver !)

encore merci & a+

H
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Je suis juste la discuss par intérêt et: un gros bisou à malik7934



@++



R@f


www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
1154
Date d'inscription
mardi 9 septembre 2003
Statut
Membre
Dernière intervention
15 août 2009
17
Ben alors si on se dit tu, moi j'te fais une grosse lechouille!