Cookies et sécurité [Résolu]

Signaler
Messages postés
66
Date d'inscription
jeudi 12 août 2004
Statut
Membre
Dernière intervention
28 août 2005
-
Messages postés
66
Date d'inscription
jeudi 12 août 2004
Statut
Membre
Dernière intervention
28 août 2005
-
Salut à tous,

Je suis en train de paufiner la partie membres de la prochaine version de mon site et je viens de me poser une question...

L'identification en tant que membres se fait via un COOKIE sur mon
site, donc en gros, si le script détecte le cookie, et bien la personne
est détectée comme membre (sinon on lui propose de s'inscrire ou de se
connecter)



Mais je viens donc de me dire qu'il devait être possible de créer ou de modifier manuellement un Cookie...

Par exemple, une personne enregistrée sur le site changerait le contenu
de son cookie afin de se faire passer pour une autre....il serait donc
préférable que j'encode le contenu du cookie non ? (de manière à
pouvoir le décoder évidemment :-) )

D'autre part une personne connaisant la "structure" du cookie des
membres, elle pourrait sans doute se créer un cookie correspondant,
serait alors détectée comme membre sans jamais s'être enregistrée !



Pourrais-je avoir vos conseils SVP ?



merci ;-)




www.graph-site.net

6 réponses

Messages postés
19
Date d'inscription
mercredi 20 août 2003
Statut
Membre
Dernière intervention
14 juillet 2006

Effectivement, le mieux serait de faire un mixe de SESSION et COOKIE
car certains utilisateurs pourait interdire l'utilisation
de COOKIE...

Maintenant, si j'ai bien compris, dans le cookie tu
stockes le speudo et sur le site, tu vérifie la présence de ce speudo
dans la DB et s'il existe, c'est qu'il est logué?

Pas très sécurisé tout ça...

Comme la dit, un membre plus haut, la meilleur manière serait:

<ol>
<li> de faire un login via SESSION</li>
<li>Ensuite, tu enregistres les informations SPEUDO, et le MOT DE
PASSE haché par MD5() dans le cookie (celà inplique qu'il soit
haché au niveau de la DB)...</li>
</ol>
Pour la vérification, je suppose que tu inclus une page de
vérification sur toute les autres...Et donc tout ce que tu dois faire:

<ol>
<li>Vérifier si les variables de session existe, si oui il est logué et la procédure s'arrête là. (Les plus succeptibles
de la sécurité te diraient peut-être de vérifier si les infos sont
correctes, càd que le mot de passe pour le speudo est bien
correct...seulement je vois pas trop l'intérêt sauf si tu fais une
partie ADMIN: là, il vaut mieux prendre les devant et même
demander une réinsertion du mot de passe PAR L'UTILISATEURS)

</li>
<li>Si non, tu vérifies l'existance d'un COOKIE éventuel. S'il y en
a, tu vérifies les valeurs càd, que tu
vérifies si il existe bien un membre avec le speudo ET le mot de passe
indiqué dans le COOKIE.

</li>
<li>Si oui, tu enregistres tes variables de session et tu affiches
normalement la page, si non, tu rediriges vers le formulaire
de login (uniquement si la page en
question ne peut-être visualisée que par un membre)

</li>
</ol>
L'emploi de SESSION n'est pas obligatoire, seulement tu risques de
perdre pas mal d'utilisateurs (Le principe est le même, tu dois juste
passer l'étape 1) mais encore une fois, celà n'est pas très recomandé.

PS: J'espère t'avoir éclairé dans tes recherches...
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
3
Ce que tu peux faire avec les cookies :



Lorsque tu log un membre, tu crées des variables de sesssions.
(normalement). Donc, quand ton membre se connecte sur ta page, tu
regardes si il possède les variables de sessions. Si c'est le cas,
alors il s'est logué, sinon :

--> tu regardes si il possède un cookie. Si oui, tu y a stocké
identifiant + mot de passe. Tu lances donc une procédure de login qui
va créer les identifiants de sessions (pour ne pas à avoir à vérifier
le cookie sans cesse...), et hop c'est bon.

--> si il a pas de cookie ==> visiteur simple.
Messages postés
2268
Date d'inscription
mercredi 27 novembre 2002
Statut
Membre
Dernière intervention
13 septembre 2013
3
Salut!

Garde quand même en tête que certains visiteurs ne veulent pas de cookies. Mais ils pourraient être logués quand même...



@++



R@f

www.allpotes.ch: Photos, humour, vidéos, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un génie???"
Messages postés
66
Date d'inscription
jeudi 12 août 2004
Statut
Membre
Dernière intervention
28 août 2005

Bon !

et bien j'ai dû m'y prendre comme un manche ! mdr.



Lorsqu'un membre s'inscrit, si toutes les infos rentrées correspondent
à ce qui est demandé, le membre reçoit un e-mail afin d'activer le
compte.

Il peut alors se connecté, ce qui a pour effet de créer un cookie avec son pseudo à l'intérieur.



Sur le reste du site, je vérifié juste la présence de ce pseudo, si il
y est, c'est un membre, et je peux alors récupérer les infos
nécessaires dans la BDD grâce à son pseudo.



Pourriez vous m'en dire plus sur les défauts de ma méthode afin que je corrige tout cela SVP ?



@ +

www.graph-site.net
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
3
Tu va faire une requete SQL à chaque fois que tu voudras tester le pseudo.

Alors que si tu utilises les sessions, tu te passes de faire une requete pour le test.



Je sais pas si je me suis bien compris, mais bon :o
Messages postés
66
Date d'inscription
jeudi 12 août 2004
Statut
Membre
Dernière intervention
28 août 2005

Un gros mecri à tous :-)

Particulièrement à sedilbur pour sa réponse super détaillée ;-)



Je vais donc aller faire quelques tutos sur les sessions :-)

Je pense qu'avec 3 ou 4 heure de boulot je devrais réussir à faire tout cela !



Merci encore !



@ +

www.graph-site.net