Cookies et sécuritéRésolu

Question

Salut &#224; tous, 

Je suis en train de paufiner la partie membres de la prochaine version de mon site et je viens de me poser une question...

L'identification en tant que membres se fait via un COOKIE sur mon
site, donc en gros, si le script d&#233;tecte le cookie, et bien la personne
est d&#233;tect&#233;e comme membre (sinon on lui propose de s'inscrire ou de se
connecter)



Mais je viens donc de me dire qu'il devait &#234;tre possible de cr&#233;er ou de modifier manuellement un Cookie...

Par exemple, une personne enregistr&#233;e sur le site changerait le contenu
de son cookie afin de se faire passer pour une autre....il serait donc
pr&#233;f&#233;rable que j'encode le contenu du cookie non ? (de mani&#232;re &#224;
pouvoir le d&#233;coder &#233;videmment :-) )

D'autre part une personne connaisant la "structure" du cookie des
membres, elle pourrait sans doute se cr&#233;er un cookie correspondant,
serait alors d&#233;tect&#233;e comme membre sans jamais s'&#234;tre enregistr&#233;e !



Pourrais-je avoir vos conseils SVP ?



merci ;-)




www.graph-site.net

Sedilbur · Accepted Answer

Effectivement, le mieux serait de faire un mixe de SESSION et COOKIE car certains utilisateurs pourait interdire l'utilisation de COOKIE... Maintenant, si j'ai bien compris, dans le cookie tu stockes le speudo et sur le site, tu vérifie la présence de ce speudo dans la DB et s'il existe, c'est qu'il est logué? Pas très sécurisé tout ça... Comme la dit, un membre plus haut, la meilleur manière serait:

de faire un login via SESSION
Ensuite, tu enregistres les informations SPEUDO, et le MOT DE PASSE haché par MD5() dans le cookie (celà inplique qu'il soit haché au niveau de la DB)...

Pour la vérification, je suppose que tu inclus une page de vérification sur toute les autres...Et donc tout ce que tu dois faire:

Vérifier si les variables de session existe, si oui il est logué et la procédure s'arrête là. (Les plus succeptibles de la sécurité te diraient peut-être de vérifier si les infos sont correctes, càd que le mot de passe pour le speudo est bien correct...seulement je vois pas trop l'intérêt sauf si tu fais une partie ADMIN: là, il vaut mieux prendre les devant et même demander une réinsertion du mot de passe PAR L'UTILISATEURS)
Si non, tu vérifies l'existance d'un COOKIE éventuel. S'il y en a, tu vérifies les valeurs càd, que tu vérifies si il existe bien un membre avec le speudo ET le mot de passe indiqué dans le COOKIE.
Si oui, tu enregistres tes variables de session et tu affiches normalement la page, si non, tu rediriges vers le formulaire de login (uniquement si la page en question ne peut-être visualisée que par un membre)

L'emploi de SESSION n'est pas obligatoire, seulement tu risques de perdre pas mal d'utilisateurs (Le principe est le même, tu dois juste passer l'étape 1) mais encore une fois, celà n'est pas très recomandé. PS: J'espère t'avoir éclairé dans tes recherches...

FhX · Answer

Ce que tu peux faire avec les cookies :



Lorsque tu log un membre, tu cr&#233;es des variables de sesssions.
(normalement). Donc, quand ton membre se connecte sur ta page, tu
regardes si il poss&#232;de les variables de sessions. Si c'est le cas,
alors il s'est logu&#233;, sinon :

--> tu regardes si il poss&#232;de un cookie. Si oui, tu y a stock&#233;
identifiant + mot de passe. Tu lances donc une proc&#233;dure de login qui
va cr&#233;er les identifiants de sessions (pour ne pas &#224; avoir &#224; v&#233;rifier
le cookie sans cesse...), et hop c'est bon.

--> si il a pas de cookie ==> visiteur simple.

coockiesch · Answer

Salut!

Garde quand m&#234;me en t&#234;te que certains visiteurs ne veulent pas de cookies. Mais ils pourraient &#234;tre logu&#233;s quand m&#234;me...



@++



R@f

www.allpotes.ch: Photos, humour, vid&#233;os, gags, ...

"On dit que seulement 10 personnes au monde comprenaient Einstein. Personne ne me comprends. Suis-je un g&#233;nie???"

jubeau · Answer

Bon ! 

et bien j'ai d&#251; m'y prendre comme un manche ! mdr.



Lorsqu'un membre s'inscrit, si toutes les infos rentr&#233;es correspondent
&#224; ce qui est demand&#233;, le membre re&#231;oit un e-mail afin d'activer le
compte.

Il peut alors se connect&#233;, ce qui a pour effet de cr&#233;er un cookie avec son pseudo &#224; l'int&#233;rieur.



Sur le reste du site, je v&#233;rifi&#233; juste la pr&#233;sence de ce pseudo, si il
y est, c'est un membre, et je peux alors r&#233;cup&#233;rer les infos
n&#233;cessaires dans la BDD gr&#226;ce &#224; son pseudo.



Pourriez vous m'en dire plus sur les d&#233;fauts de ma m&#233;thode afin que je corrige tout cela SVP ?



@ +

www.graph-site.net

FhX · Answer

Tu va faire une requete SQL &#224; chaque fois que tu voudras tester le pseudo.

Alors que si tu utilises les sessions, tu te passes de faire une requete pour le test.



Je sais pas si je me suis bien compris, mais bon :o

jubeau · Answer

Un gros mecri &#224; tous :-)

Particuli&#232;rement &#224; sedilbur pour sa r&#233;ponse super d&#233;taill&#233;e ;-)



Je vais donc aller faire quelques tutos sur les sessions :-)

Je pense qu'avec 3 ou 4 heure de boulot je devrais r&#233;ussir &#224; faire tout cela !



Merci encore !



@ +

www.graph-site.net

Cookies et sécurité

6 réponses

Votre réponse

Discussions similaires