jubeau
Messages postés66Date d'inscriptionjeudi 12 août 2004StatutMembreDernière intervention28 août 2005
-
28 août 2005 à 12:30
jubeau
Messages postés66Date d'inscriptionjeudi 12 août 2004StatutMembreDernière intervention28 août 2005
-
28 août 2005 à 15:04
Salut à tous,
Je suis en train de paufiner la partie membres de la prochaine version de mon site et je viens de me poser une question...
L'identification en tant que membres se fait via un COOKIE sur mon
site, donc en gros, si le script détecte le cookie, et bien la personne
est détectée comme membre (sinon on lui propose de s'inscrire ou de se
connecter)
Mais je viens donc de me dire qu'il devait être possible de créer ou de modifier manuellement un Cookie...
Par exemple, une personne enregistrée sur le site changerait le contenu
de son cookie afin de se faire passer pour une autre....il serait donc
préférable que j'encode le contenu du cookie non ? (de manière à
pouvoir le décoder évidemment :-) )
D'autre part une personne connaisant la "structure" du cookie des
membres, elle pourrait sans doute se créer un cookie correspondant,
serait alors détectée comme membre sans jamais s'être enregistrée !
Sedilbur
Messages postés19Date d'inscriptionmercredi 20 août 2003StatutMembreDernière intervention14 juillet 2006 28 août 2005 à 14:21
Effectivement, le mieux serait de faire un mixe de SESSION et COOKIE
car certains utilisateurs pourait interdire l'utilisation
de COOKIE...
Maintenant, si j'ai bien compris, dans le cookie tu
stockes le speudo et sur le site, tu vérifie la présence de ce speudo
dans la DB et s'il existe, c'est qu'il est logué?
Pas très sécurisé tout ça...
Comme la dit, un membre plus haut, la meilleur manière serait:
<ol>
<li> de faire un login via SESSION</li>
<li>Ensuite, tu enregistres les informations SPEUDO, et le MOT DE
PASSE haché par MD5() dans le cookie (celà inplique qu'il soit
haché au niveau de la DB)...</li>
</ol>
Pour la vérification, je suppose que tu inclus une page de
vérification sur toute les autres...Et donc tout ce que tu dois faire:
<ol>
<li>Vérifier si les variables de session existe, si oui il est logué et la procédure s'arrête là. (Les plus succeptibles
de la sécurité te diraient peut-être de vérifier si les infos sont
correctes, càd que le mot de passe pour le speudo est bien
correct...seulement je vois pas trop l'intérêt sauf si tu fais une
partie ADMIN: là, il vaut mieux prendre les devant et même
demander une réinsertion du mot de passe PAR L'UTILISATEURS)
</li>
<li>Si non, tu vérifies l'existance d'un COOKIE éventuel. S'il y en
a, tu vérifies les valeurs càd, que tu
vérifies si il existe bien un membre avec le speudo ET le mot de passe
indiqué dans le COOKIE.
</li>
<li>Si oui, tu enregistres tes variables de session et tu affiches
normalement la page, si non, tu rediriges vers le formulaire
de login (uniquement si la page en
question ne peut-être visualisée que par un membre)
</li>
</ol>
L'emploi de SESSION n'est pas obligatoire, seulement tu risques de
perdre pas mal d'utilisateurs (Le principe est le même, tu dois juste
passer l'étape 1) mais encore une fois, celà n'est pas très recomandé.
PS: J'espère t'avoir éclairé dans tes recherches...
FhX
Messages postés2350Date d'inscriptionmercredi 13 octobre 2004StatutMembreDernière intervention18 avril 20153 28 août 2005 à 12:34
Ce que tu peux faire avec les cookies :
Lorsque tu log un membre, tu crées des variables de sesssions.
(normalement). Donc, quand ton membre se connecte sur ta page, tu
regardes si il possède les variables de sessions. Si c'est le cas,
alors il s'est logué, sinon :
--> tu regardes si il possède un cookie. Si oui, tu y a stocké
identifiant + mot de passe. Tu lances donc une procédure de login qui
va créer les identifiants de sessions (pour ne pas à avoir à vérifier
le cookie sans cesse...), et hop c'est bon.
jubeau
Messages postés66Date d'inscriptionjeudi 12 août 2004StatutMembreDernière intervention28 août 2005 28 août 2005 à 12:52
Bon !
et bien j'ai dû m'y prendre comme un manche ! mdr.
Lorsqu'un membre s'inscrit, si toutes les infos rentrées correspondent
à ce qui est demandé, le membre reçoit un e-mail afin d'activer le
compte.
Il peut alors se connecté, ce qui a pour effet de créer un cookie avec son pseudo à l'intérieur.
Sur le reste du site, je vérifié juste la présence de ce pseudo, si il
y est, c'est un membre, et je peux alors récupérer les infos
nécessaires dans la BDD grâce à son pseudo.
Pourriez vous m'en dire plus sur les défauts de ma méthode afin que je corrige tout cela SVP ?