Securiser un cookie

Signaler
Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
-
Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
-
bonjour a tous,

voila le titre dis leplus gros de mes envie,

j'ai en ce moment besoin des cookies et il s'avere qu'il sont pas securisé

j'aimerais savoir si il y as possibilité de faire en sorte qu'il ne
soit pas modifiable (ce qui n'est pas trop possible je pense) .

je pensai donc a crypter la chaine qui se trouve dedans mais la aussi
accros car j'ai vu qu'il fallai passer par mcrypt et je comrpend un peu
trop rien en fait.



merci de m'aider
L U C Y I3 E R @ D

38 réponses

Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
Bah, un cookie, c'est sur le poste du client. Hors le client est roi, donc il fait ce qu'il veut !
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Salut,



tu ne peux pas empêcher à un cookie d'être supprimé. Ensuite pour hasher la valeur du contenu tu peux utiliser md5($chaine);

Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
3
merci de cette reponse inutile, donc pour toi les cookie ca ne vo rien !, bravo l'esprit on s'en souviendra...

ps: donc si tu veut faire un site ou on se log a chak fois qu'on y va
et que des qu'on ferme le navigateur les session sont finie? je n'irait
jamais dessus car ca me soulerai trop.



si quelqu'un a un truc aussi constructif que ca, qu'il s'abstienne.

certain on veut le repondre comme ca mais on s'abstient, ok?

tu sait pas repondre? tu veut pas aider? alors vas ailleur !

la prochaine fois que tu aura des ennuie, compte pas sur moi.


L U C Y I3 E R @ D
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
Lol, parce que je t'ai pas donné de solution toute prête tu viens pleurnicher :/

Lamentable, mais si tu savais comment fonctionne un cookie, tu aurais pu comprendre pourquoi je te faisais part de mon idée.

Alors je recommence :



"j'aimerais savoir si il y as possibilité de faire en sorte qu'il ne
soit pas modifiable (ce qui n'est pas trop possible je pense) ."
Comment veut tu qu'un fichier sur le PC de ton visiteur ne soit pas
modifiable ? Ou alors tu t'es mal exprimé, ou alors tu n'as pas compris
le fonctionnement d'un cookie (ce que je soupsonne un peu).



"je pensai donc a crypter la chaine qui se trouve dedans mais la aussi
accros car j'ai vu qu'il fallai passer par mcrypt et je comrpend un peu
trop rien en fait."

Une petite recherche au minimum :

http://www.neokraft.net/articles/chiffrement-php/

ou

http://www.php.net/manual/fr/ref.mcrypt.php



Après, ce que j'en pense d'un cookie :

->Un cookie reste pour moi un objet OPTIONNEL, simplement parce que
l'utilisateur peut avoir choisi de ne pas les utiliser (oui c'est
possible).

De plus, utiliser un algorithme de cryptage sur des données qui vont
tout droit à l'utilisateur... ca me fait peur, un brute force ou alors
un cassage de code peut être tenté bien plus facilement que si tu
utilises un hashage de données.

Ce qu'il faut, c'est savoir quoi mettre dans un cookie, par exemple, tu
peux mettre un login et le mot de passe en md5(ou sha), et faire une
vérification dans ta DB et récupérer ce qui t'interesse ENSUITE.



-> il faut voir dans le cookie un EXTRA qui n'est pas forcément
nécessaire à la survie du site. C'est un confort supplémentaire
seulement...



Je te reprend une dernière fois :

"donc si tu veut faire un site ou on se log a chak fois qu'on y va et
que des qu'on ferme le navigateur les session sont finie? je n'irait
jamais dessus car ca me soulerai trop." Alors je te donne un
contre-exemple. Ayant travaillé en tant qu vendeur dans une boutique de
téléphonie, il faut que tu saches que lorsque tu inscrit une ligne sur
le site d'orange/sfr par exemple, les sessions ne durent que très peu
de temps,et qu'il faut retaper sans cesse login/mot de passe/clé
sécurID.

Je te laisse le soin de penser combien de fois cette opération doit
être faite dans la même journée et je peux t'assurer que la sécurité
est bien moins compromise ainsi.



Comme quoi ...
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Oh, un boulet ^^



FhX > laisse tomber il sait même pas ce qu'est un cookie apparemment...

Messages postés
10839
Date d'inscription
lundi 24 février 2003
Statut
Modérateur
Dernière intervention
2 mars 2010
25
Wow...lol.

J'ai toujours pensé qu'un développeur web ne pouvait sécuriser que ce
qui se trouvait sur son serveur. apparemment, Lucyberad pense qu'il
peut aussi sécuriser les postes clients!



J'adore les gens qui n'acceptent pas les réponses qu'on leur donne,
sans avoir la moindre idée de si elles sont justifiées ou non.

Ca aurait autant pu être une discussion comme celle-là :

- BouletX : comment fair pour étaindre le poste client en php, dé kil a kitté mon site ?

- FhXkiditkeudeskonneries : c'est impossible, tu ne peux absolument pas
contrôler une machine client en php, étant donné qu'il est éxécuté côté
serveur. A fortiori si le poste client n'est même pas connecté à ton
serveur...

- BouletX : t vraiment un gro gland, si t'a pas la réponse à ma
questions, abstiens toi de dir koi ke se soit. Tu sait pas répondre? Tu
veux pas aidé? Alors tai toit!



(j'ai même simulé l'orthographe ;-) ).



Bref, Lucymachin : FhX et Antho ont raison, et tu as tort, sur ce coup
là. La réponse était adaptée et parfaitement juste. Ca ne te convient
pas ? Tant pis pour toi. Mais tu n'auras pas mieux parce que mieux
n'existe pas.
Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
"j'ai même simulé l'orthographe" Te manque encore le style d'écriture :D
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Malalam > remarque, il peut éteindre le poste client si le client et le serveur ne font qu'un ^^

tu vois que mieux existe (bon ok je sors mdr)

Messages postés
1406
Date d'inscription
mercredi 17 août 2005
Statut
Membre
Dernière intervention
28 août 2007
9
SALUUUUUUUT BOULEEEEEEEET !



Moi aussi je faire un post, moi aussi, moi aussi.





Eh ! LucyBerad... on attend que toi pour inventer un système super
fiable, inviolable, dont le client ne puisse même pas être mettre,
crypté et décryptable sans jamais être cassable.



Merci de donné ta solution... ;)
Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
3
je connais tres bien comment fonctionne un cookie:

il s'installe sur le pc client et le navigateur envoie ce fichier appelé cookie au serveur.

le fichier est ous forme .txt donc modifiable a souahit par
l'utilisateur: d'ou ma phrase: "ce qui n'est pas trop possible je pense"

sachant que orange/sfr/mobicarte sont des site avec des clients en tout
genre, il s'avere normal que les info soit aps dans un cookie mais vazy
mets sur ton site perso des demande de mot de apsse a chaque fois que
le client vas sur ton site: y'as rien de mieux pour les faire fuir !

d'ailleurs les sessions etant aussi des cookie"préfabriqué" sont tout aussi mal protégé.

donc quand tu me sort:


"Bah,
un cookie, c'est sur le poste du client. Hors le client est roi, donc
il fait ce qu'il veut !" ca veut donc dire que si le client veut avior
le controle de son pc il devrait donc tout faire lui meme, tres bien je
te file donc un pc, code moi un systeme d'exploitation.



la question est du moins tres claire et n'attandait pas du tout une reponse comme la tienne.

voici donc al question: y'as-t-il un moins de se proteger du fait qu'une client modifie le cookie



pour repondre a malalam: le client peut le modifier comme y veut mais
quand il vien sur mon site je veut pas qu'il soit reconnu alors qu'il
n'est pus valide, voila donc c'est securiser son serveur et aps celui
du client.





ceci etant dit on peut repartir sur des base saine et je prend donc en
compte une reponse comme le fait de hasher le cookie ou utiliser mcrypt.

et je suis tout a fait ravi de ta reponse du fait que les lien m'aide bien ! voila.



L U C Y I3 E R @ D
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
" voici donc al question: y'as-t-il un moins de se proteger du fait qu'une client modifie le cookie"



non, mis à part le fait de vérifier la concordance des données
(user+pass dans le cas d'une authentification automatique) avec les
données stockées dans la base de données par exemple



" d'ailleurs les sessions etant aussi des cookie"préfabriqué" sont tout aussi mal protégé."



absolument pas



"
ca veut donc dire que si le client veut avior le
controle de son pc il devrait donc tout faire lui meme, tres bien je te
file donc un pc, code moi un systeme d'exploitation."



mouarf, aucun rapport


Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
"d'ailleurs les sessions etant aussi des
cookie"préfabriqué" sont tout aussi mal protégé."faux, les sessions
sont controlées sur le serveur himself et exploitées par lui seulement
!



"
Bah, un cookie, c'est sur le poste du client.
Hors le
client est roi, donc il fait ce qu'il veut !" ca veut donc dire que si
le client veut avior le controle de son pc il devrait donc tout faire
lui meme" Faux, t'as mal compris ==> Si le client veut modifier à
loisir son cookie, rien ne l'en empeche. Si un hacker veut s'amuser, il
le fera sans hésiter.



Ce que tu as mal compris, c'est qu'un cookie peut se modifier par le
client. Par contre, la vérification de ce dernier reste à ta charge.
C'est donc LA qu'il faut travailler. Hors, ta question etait posé du
coté client, et non coté serveur, ce qui a induit ma réponse ci-dessus.



Cependant, ne vois en aucun à un post bidon de ma part, étant donné que
je te fourni même les liens qui pourront t'être utile. C'est juste que
ta demande était mal formulée.

En code, il faut être rigoureux. Quand on a un problème, on doit l'etre pour la langue francaise :)

Mais rien de bien méchant =)
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
" Mais rien de bien méchant =)"



absolument pas, on est habitués de toute façon à voir ce genre de topics ^^


Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
3
quand je voi un mec qui explique mal son prblm, je lui repond en gros de preciser mais pas une phrase le troublant encore +.

sinon je creuse le fond de ma question (puisque elle est pas claire):
oui le client peut faire ce qu'il veut, oui il peut m'envoyer ce qu'il
veut. et oui la verification se fait sur le serveur: donc comment on
peut effecteur un verification efficace.

sinon pour les session oui ca passe pas totalement par un cookie mais quand meme.

le serveur crée un cookie avec un id (unique au client) dedans, ensuite
l'id est envoyé au serveur qui ressorre a partir de l'id la(les)
variable(s) qu'il as en memoire.

L U C Y I3 E R @ D



ps: avoue quand meme que repondre une phrase comme ca c'est un peu pour faire chier: "

Bah, un cookie, c'est sur le poste du client. Hors le client est roi, donc il fait ce qu'il veut !"

mais puisque tu sait mieux que moi je te demande donc d'expliquer et
ton 2eme post a été vraiment plus constructif et instructif que le 1er.
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Je vois pas en quoi son premier post n'était pas constructif...

Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
" sinon pour les session oui ca passe pas totalement par un cookie mais quand meme.


le serveur crée un cookie avec un id (unique au client) dedans, ensuite
l'id est envoyé au serveur qui ressorre a partir de l'id la(les)
variable(s) qu'il as en memoire."Faux, l'ID est CONSERVER dans un fichier serveur qui se le consulte lui même tout seul !

La fichier de session ne fait pas mumuse entre le serveur et toi,
simplement les variables...et encore, ne sont modifiables que par le
serveur !



" ps: avoue quand meme que repondre une phrase comme ca c'est un
peu pour faire chier:" Bah pas forcément ! C'est vrai que c'était cru,
mais quand même ;)
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
Non non, quand t'utilises les cookies il y a bien un cookie qui porte
l'id de ta session sur ton pc, et grâce à cet id le serveur sait à
quelle session il a affaire

Messages postés
414
Date d'inscription
mercredi 16 juin 2004
Statut
Membre
Dernière intervention
26 juillet 2007
3
tu voulai dire quand tu utilise les sessions anthomicro non?

L U C Y I3 E R @ D
Messages postés
9433
Date d'inscription
mardi 9 octobre 2001
Statut
Membre
Dernière intervention
13 avril 2007
9
oui les sessions mais avec l'utilisation des cookies (tu peux forcer
les sessions à n'utiliser que les cookies pour qu'il n'y ait pas
d'identification de session dans l'url)



session.use_trans_sid=Off

Messages postés
2350
Date d'inscription
mercredi 13 octobre 2004
Statut
Membre
Dernière intervention
18 avril 2015
4
"il y a bien un cookie qui porte l'id de ta session sur ton pc"Oui mais
c'est tout, tu peux pas en faire grand chose... A moins de connaitre un
autre identifiant de session :/ Donc au final, ca ne change à rien.