Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 2007
-
15 sept. 2005 à 22:41
Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 2007
-
22 sept. 2005 à 17:59
bonjour a tous,
voila le titre dis leplus gros de mes envie,
j'ai en ce moment besoin des cookies et il s'avere qu'il sont pas securisé
j'aimerais savoir si il y as possibilité de faire en sorte qu'il ne
soit pas modifiable (ce qui n'est pas trop possible je pense) .
je pensai donc a crypter la chaine qui se trouve dedans mais la aussi
accros car j'ai vu qu'il fallai passer par mcrypt et je comrpend un peu
trop rien en fait.
Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 20073 20 sept. 2005 à 18:55
ben voici des nouvelles, j'evolue bien sur le mfcrypt mais il s'avere que je fais kelke faux pas.
voila j'ai pris le tuto du lien et pis j'y arrive a moitié:
je m'explique, j'arrive bien a encoder un chaine, nikel mais y'as un
os, comme c'est indiqué dans le tuto ca doit etre random donc aleatoire
donc jamais la meme chaine encodée et mon code produit toujours le meme.
je continue et je dechiffre ma chaine encrypté (enfin mon code le fais
^^) et donc voila j'arrive bien a dechiffrer donc j'ai bien ma chaine
de depart mais deuxieme os, juste a coté s'ajoute des carrés, des
caracteres en forme de carré.
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 21 sept. 2005 à 09:20
N'empêche...tu n'éviteras pas avec cette solution que l'utilisateur
doive s'identifier à chaque venue sur ton site, si le coeur lui en dit.
Ou si son pc est configuré comme tel (dans certaines boîtes par
exemple).
Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 20073 21 sept. 2005 à 13:11
malalam > le cookie sert justement a faire qu'on puisse identifier automatiquement.
contrairement a la session qui elle ne permet de faire en sorte de conserver des donnees.
antho > j'oublie ^^
a tous > j'utilise les cookie car j'ai crée un systeme de membre, et
je voulai foutre le pseudo dans le cookie pour en deduire qui est
connecté. je me suis interresé au mfcrypt car ca m'amuse. non serieux
c'est toujours bon d'en savoir plus et le sha ou md5 me forcerai a
faire un recherche sur la base donnees en fesant un sha ou md5 de tout
les pseudo ce qui fais un peu ralentir mais si je peut pas eviter je
ferai avec.
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 21 sept. 2005 à 13:39
heu pourquoi ? perso j'ai un cookie et ça s'identifie automatiquement :-)
malalam > le cookie sert justement a faire qu'on puisse identifier automatiquement.
Parce qu'un cookie, justement, ça s'efface. ET facilement. Tiens,
je vais nettoyer mon pc aujourd'hui. Ou tien, ma tâche automatique de
nettoyage s'exécute là...
Ou tien, si je vidais un peu les répertoires temporaires diverses...
Ou tien, si je passais mon système au scan d'un logiciel anti spyware...
Ou tien, si je disais à IE, Firefox, de nettoyer son cache/cookies...
Ou tien, si je refusais les cookies parce que on dit souvent que c'est dangereux tout ça...
et tout ça bien sûr si je suis un utilisateur lambda, qui ne fait pas spécialement attention à ce qu'il fait.
Bref, un cookie, ce n'est pas la solution miracle. Ca ne marche que si l'utilisateur/son système le laisse marcher.
Je n'oppose pas là les cookies et les sessions...ça ne sert pas tout à
fait à la même chose finalement. Je dis juste que vouloir prévenir nos
utilisateurs de s'identifier à chaque fois est :
- illusoire (si on a en tête d'absolument les prévenir de ça)
- dangereux (tu ne sais pas d'où va se connecter ton utilisateur...de
chez lui ? Combien d'autres personnes utilisent son pc, et qui? D'un
cyber? aie...De son école, de son taf...? ...etc).
Pour le "comptage", je rejoins antho. Tu comptes faire comment ?
Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 20073 21 sept. 2005 à 18:48
attention y'as une difference entre avoir un compteur de connecté (basé sur ip completement denué de cookie) et un login.
un cookie est un fichier que l'on mets sur le pc client, moi mon site
dit de mettre dans un cookie que mon utilisateur as deja fais l'action
de se reconnaitre aupres du serveur et le serveur verifie donc a chak
fois si on est connecté ou pas en verifiant dans le cookie.
voila alors prenons un exemple tres simple: phpcs, lorsque je veut
poster un message il faut etre membre et donc se faire reconnaitre,
apres avoir fais ca je peut poster mon message mais imaginons que le
soir j'ai deja eux une reponse, quand je revien sur le site pour y
repondre, j'ai aps la fenetre qui demande de me logger car je l'ai deja
fais le matin et que le serveur as marqué que je l'ai fais.
donc regardon maintenant le fait qu'un cookie soit effacable, c'est
tout simple si l'utilisateur ou un programme mis par l'utilisateur
(donc il est conscient que ca efface) decide d'effacer ou de bloquer
les cookie, tres bien mais temps pis pour lui (car un cookie ne se
bloque pas car ca a jamais fais de mal = avis perso) et il devra donc
pour poster son message phpcs se logger a chaque fois qu'il veut en
faire un nouveau. tant pis pour lui qui as decidé de refuser cet option
qui peut etre facultative mais bien utile pour ceux qui veulent
profiter de cette options.
3eme partie: un cookie peut se modifier pour leurrer le serveur et se
faire passer pour autrui, voila donc pourquoi je cherche a trouver une
solution efficace pour securiser les cookie ou du moins se proteger des
cookie trafiqué.
4eme et derniere partie: il n'est pas illusoire de faire ce systeme par
les cookie: phpcs, vbfrance, hotmail, les cms comme php-nuke, runcms,
xoops...
et ce n'est pas dangereux pour l'utilisateur du fait que comme les site
precedemment cité, si il sont bien fait il y as une touche deconnexion
qui permet de detruire le cookie. donc fini les probleme de mauvais
login et les pro connaissant qu'un systeme comme ca utilise les cookie
seront rejoin pas les neophite ayant un bouton fesant tout
automatiquement. de plus une securité est ajouté du fait que le cookie
est limité en durée de vie pas une "date limite de comsommation".
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 21 sept. 2005 à 18:52
"3eme partie: un cookie peut se modifier pour leurrer le serveur et se
faire passer pour autrui, voila donc pourquoi je cherche a trouver une
solution efficace pour securiser les cookie ou du moins se proteger des
cookie trafiqué."
il suffit de stocker le login et le pass en md5() et hop c'est
sécurisé, après tu fais une vérification au niveau de la base de
données pour le login et le pass, et hop c'est bon. Pense à faire gaffe
aux caractères spéciaux qui pourraient être mis dans le cookie par
contre.
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 22 sept. 2005 à 09:17
Il faut aussi (et surtout...htmlentities() ne bloquera pas une
injection sql) utiliser addslashes() ou mysql_real_escape_string ().
car un cookie ne se bloque
pas car ca a jamais fais de mal = avis perso
Ben justement...si. Un tracker, c'est chiant. Et ça peut conduire à d'autres choses...
Et le problème des cookies et bien là. Beaucoup d'utilisateurs en ont
un peu peur, parce qu'il y a eu des abus. Bien sûr, un utilisateur
averti s'en sortira, il bloquera les cookies provenant de sites dont il
n'est pas sûr, et acceptera les autres. Pareil pour ce qui est
d'effacer. Mais ce n'est le cas que d'un utilisateur averti. Un
utilisateur non averti peut utiliser divers logiciels de nettoyage, et
crois moi, il ne les configurera pas, ne fera pas attention à ce qu'il
efface.
Bref...de toutes façons, c'est une question de choix. Ton système ne
marchera pas pour tout le monde, mais c'est normal. Aucun système ne
fonctionne universellement, en ce bas monde (à part peut-être les
produits microsoft ;-) ).
Donc, je n'ai pas dit que c'était illusoire...j'ai juste dit que ça ne
fonctionnerait que si l'utilisateur le veut bien, ou du moins, si son
système le veut bien (vu que tous les utilisateurs ne maîtrisent pas
leur système, loin de là).
il suffit de stocker le login et le pass en md5() et hop c'est
sécurisé, après tu fais une vérification au niveau de la base de
données pour le login et le pass, et hop c'est bon.
J'ai lu quelquepart qu'il valait mieux commencer à éviter md5, car
il est maintenant cassable relativement facilement. sha est préconisé.
Ou un mélange de plusieurs md5, plusieurs sha, sha + md5, ou autre
hash.
Lucyberad
Messages postés414Date d'inscriptionmercredi 16 juin 2004StatutMembreDernière intervention26 juillet 20073 22 sept. 2005 à 17:59
j'ai juste dit que ça ne fonctionnerait que si l'utilisateur le veut bien
voila pourquoi j'ai fais un systeme, il se log ca cré le cookie et ca crée un session.
quand le client revient sur le site il devra se relogguer car le site vois pas le cookie.
donc si l'utilisateur veut aps car il dit qu'il y as eux des abus, il
peut bloquer les cookie en ayant moins de possibilité mais en pouvant
quand meme se servir du site grace au session.
et pis en effet le md5 c'est facilement hackable (bruteforce) c'est
pourquoi j'ai deja fais un systeme md5 de md5 ou sha de sha ou md5 de
sha, etc...