securiser un cookie

Question

bonjour a tous,

voila le titre dis leplus gros de mes envie,

j'ai en ce moment besoin des cookies et il s'avere qu'il sont pas securis&#233;

j'aimerais savoir si il y as possibilit&#233; de faire en sorte qu'il ne
soit pas modifiable (ce qui n'est pas trop possible je pense) .

je pensai donc a crypter la chaine qui se trouve dedans mais la aussi
accros car j'ai vu qu'il fallai passer par mcrypt et je comrpend un peu
trop rien en fait.



merci de m'aider
L U C Y I3 E R @ D

FhX · Answer

Bah, un cookie, c'est sur le poste du client. Hors le client est roi, donc il fait ce qu'il veut !

cs_Anthomicro · Answer

Salut,



tu ne peux pas emp&#234;cher &#224; un cookie d'&#234;tre supprim&#233;. Ensuite pour hasher la valeur du contenu tu peux utiliser md5($chaine);

Lucyberad · Answer

merci de cette reponse inutile, donc pour toi les cookie ca ne vo rien !, bravo l'esprit on s'en souviendra...

ps: donc si tu veut faire un site ou on se log a chak fois qu'on y va
et que des qu'on ferme le navigateur les session sont finie? je n'irait
jamais dessus car ca me soulerai trop.



si quelqu'un a un truc aussi constructif que ca, qu'il s'abstienne.

certain on veut le repondre comme ca mais on s'abstient, ok?

tu sait pas repondre? tu veut pas aider? alors vas ailleur !

la prochaine fois que tu aura des ennuie, compte pas sur moi.


L U C Y I3 E R @ D

FhX · Answer

Lol, parce que je t'ai pas donn&#233; de solution toute pr&#234;te tu viens pleurnicher :/

Lamentable, mais si tu savais comment fonctionne un cookie, tu aurais pu comprendre pourquoi je te faisais part de mon id&#233;e.

Alors je recommence :



"j'aimerais savoir si il y as possibilit&#233; de faire en sorte qu'il ne
soit pas modifiable (ce qui n'est pas trop possible je pense) ."
Comment veut tu qu'un fichier sur le PC de ton visiteur ne soit pas
modifiable ? Ou alors tu t'es mal exprim&#233;, ou alors tu n'as pas compris
le fonctionnement d'un cookie (ce que je soupsonne un peu).



"je pensai donc a crypter la chaine qui se trouve dedans mais la aussi
accros car j'ai vu qu'il fallai passer par mcrypt et je comrpend un peu
trop rien en fait."

Une petite recherche au minimum :

http://www.neokraft.net/articles/chiffrement-php/

ou

http://www.php.net/manual/fr/ref.mcrypt.php



Apr&#232;s, ce que j'en pense d'un cookie :

->Un cookie reste pour moi un objet OPTIONNEL, simplement parce que
l'utilisateur peut avoir choisi de ne pas les utiliser (oui c'est
possible).

De plus, utiliser un algorithme de cryptage sur des donn&#233;es qui vont
tout droit &#224; l'utilisateur... ca me fait peur, un brute force ou alors
un cassage de code peut &#234;tre tent&#233; bien plus facilement que si tu
utilises un hashage de donn&#233;es.

Ce qu'il faut, c'est savoir quoi mettre dans un cookie, par exemple, tu
peux mettre un login et le mot de passe en md5(ou sha), et faire une
v&#233;rification dans ta DB et r&#233;cup&#233;rer ce qui t'interesse ENSUITE.



-> il faut voir dans le cookie un EXTRA qui n'est pas forc&#233;ment
n&#233;cessaire &#224; la survie du site. C'est un confort suppl&#233;mentaire
seulement...



Je te reprend une derni&#232;re fois :

"donc si tu veut faire un site ou on se log a chak fois qu'on y va et
que des qu'on ferme le navigateur les session sont finie? je n'irait
jamais dessus car ca me soulerai trop." Alors je te donne un
contre-exemple. Ayant travaill&#233; en tant qu vendeur dans une boutique de
t&#233;l&#233;phonie, il faut que tu saches que lorsque tu inscrit une ligne sur
le site d'orange/sfr par exemple, les sessions ne durent que tr&#232;s peu
de temps,et qu'il faut retaper sans cesse login/mot de passe/cl&#233;
s&#233;curID.

Je te laisse le soin de penser combien de fois cette op&#233;ration doit
&#234;tre faite dans la m&#234;me journ&#233;e et je peux t'assurer que la s&#233;curit&#233;
est bien moins compromise ainsi.



Comme quoi ...

cs_Anthomicro · Answer

Oh, un boulet ^^



FhX > laisse tomber il sait m&#234;me pas ce qu'est un cookie apparemment...

malalam · Answer

Wow...lol.

J'ai toujours pens&#233; qu'un d&#233;veloppeur web ne pouvait s&#233;curiser que ce
qui se trouvait sur son serveur. apparemment, Lucyberad pense qu'il
peut aussi s&#233;curiser les postes clients! 



J'adore les gens qui n'acceptent pas les r&#233;ponses qu'on leur donne,
sans avoir la moindre id&#233;e de si elles sont justifi&#233;es ou non. 

Ca aurait autant pu &#234;tre une discussion comme celle-l&#224; :

- BouletX : comment fair pour &#233;taindre le poste client en php, d&#233; kil a kitt&#233; mon site ?

- FhXkiditkeudeskonneries : c'est impossible, tu ne peux absolument pas
contr&#244;ler une machine client en php, &#233;tant donn&#233; qu'il est &#233;x&#233;cut&#233; c&#244;t&#233;
serveur. A fortiori si le poste client n'est m&#234;me pas connect&#233; &#224; ton
serveur...

- BouletX : t vraiment un gro gland, si t'a pas la r&#233;ponse &#224; ma
questions, abstiens toi de dir koi ke se soit. Tu sait pas r&#233;pondre? Tu
veux pas aid&#233;? Alors tai toit!



(j'ai m&#234;me simul&#233; l'orthographe ;-) ).



Bref, Lucymachin : FhX et Antho ont raison, et tu as tort, sur ce coup
l&#224;. La r&#233;ponse &#233;tait adapt&#233;e et parfaitement juste. Ca ne te convient
pas ? Tant pis pour toi. Mais tu n'auras pas mieux parce que mieux
n'existe pas.

FhX · Answer

"j'ai m&#234;me simul&#233; l'orthographe" Te manque encore le style d'&#233;criture :D

cs_Anthomicro · Answer

Malalam > remarque, il peut &#233;teindre le poste client si le client et le serveur ne font qu'un ^^

tu vois que mieux existe (bon ok je sors mdr)

J_G · Answer

SALUUUUUUUT  BOULEEEEEEEET !



Moi aussi je faire un post, moi aussi, moi aussi.





Eh ! LucyBerad... on attend que toi pour inventer un syst&#232;me super
fiable, inviolable, dont le client ne puisse m&#234;me pas &#234;tre mettre,
crypt&#233; et d&#233;cryptable sans jamais &#234;tre cassable.



Merci de donn&#233; ta solution... ;)

Lucyberad · Answer

je connais tres bien comment fonctionne un cookie:

il s'installe sur le pc client et le navigateur envoie ce fichier appel&#233; cookie au serveur.

le fichier est ous forme .txt donc modifiable a souahit par
l'utilisateur: d'ou ma phrase: "ce qui n'est pas trop possible je pense"

sachant que orange/sfr/mobicarte sont des site avec des clients en tout
genre, il s'avere normal que les info soit aps dans un cookie mais vazy
mets sur ton site perso des demande de mot de apsse a chaque fois que
le client vas sur ton site: y'as rien de mieux pour les faire fuir !

d'ailleurs les sessions etant aussi des cookie"pr&#233;fabriqu&#233;" sont tout aussi mal prot&#233;g&#233;.

donc quand tu me sort:

                
                "Bah,
un cookie, c'est sur le poste du client. Hors le client est roi, donc
il fait ce qu'il veut !" ca veut donc dire que si le client veut avior
le controle de son pc il devrait donc tout faire lui meme, tres bien je
te file donc un pc, code moi un systeme d'exploitation.



la question est du moins tres claire et n'attandait pas du tout une reponse comme la tienne.

voici donc al question: y'as-t-il un moins de se proteger du fait qu'une client modifie le cookie



pour repondre a malalam: le client peut le modifier comme y veut mais
quand il vien sur mon site je veut pas qu'il soit reconnu alors qu'il
n'est pus valide, voila donc c'est securiser son serveur et aps celui
du client.





ceci etant dit on peut repartir sur des base saine et je prend donc en
compte une reponse comme le fait de hasher le cookie ou utiliser mcrypt.

et je suis tout a fait ravi de ta reponse du fait que les lien m'aide bien ! voila.



L U C Y I3 E R @ D

cs_Anthomicro · Answer

" voici donc al question: y'as-t-il un moins de se proteger du fait qu'une client modifie le cookie"



non, mis &#224; part le fait de v&#233;rifier la concordance des donn&#233;es
(user+pass dans le cas d'une authentification automatique) avec les
donn&#233;es stock&#233;es dans la base de donn&#233;es par exemple



" d'ailleurs les sessions etant aussi des cookie"pr&#233;fabriqu&#233;" sont tout aussi mal prot&#233;g&#233;."



absolument pas



"
ca veut donc dire que si le client veut avior le
controle de son pc il devrait donc tout faire lui meme, tres bien je te
file donc un pc, code moi un systeme d'exploitation."



mouarf, aucun rapport

FhX · Answer

"d'ailleurs les sessions etant aussi des
cookie"pr&#233;fabriqu&#233;" sont tout aussi mal prot&#233;g&#233;."faux, les sessions
sont control&#233;es sur le serveur himself et exploit&#233;es par lui seulement
! 



"
Bah, un cookie, c'est sur le poste du client.
Hors le
client est roi, donc il fait ce qu'il veut !" ca veut donc dire que si
le client veut avior le controle de son pc il devrait donc tout faire
lui meme" Faux, t'as mal compris ==> Si le client veut modifier &#224;
loisir son cookie, rien ne l'en empeche. Si un hacker veut s'amuser, il
le fera sans h&#233;siter.



Ce que tu as mal compris, c'est qu'un cookie peut se modifier par le
client. Par contre, la v&#233;rification de ce dernier reste &#224; ta charge.
C'est donc LA qu'il faut travailler. Hors, ta question etait pos&#233; du
cot&#233; client, et non cot&#233; serveur, ce qui a induit ma r&#233;ponse ci-dessus.



Cependant, ne vois en aucun &#224; un post bidon de ma part, &#233;tant donn&#233; que
je te fourni m&#234;me les liens qui pourront t'&#234;tre utile. C'est juste que
ta demande &#233;tait mal formul&#233;e.

En code, il faut &#234;tre rigoureux. Quand on a un probl&#232;me, on doit l'etre pour la langue francaise :)

Mais rien de bien m&#233;chant =)

cs_Anthomicro · Answer

" Mais rien de bien m&#233;chant =)"



absolument pas, on est habitu&#233;s de toute fa&#231;on &#224; voir ce genre de topics ^^

Lucyberad · Answer

quand je voi un mec qui explique mal son prblm, je lui repond en gros de preciser mais pas une phrase le troublant encore +.

sinon je creuse le fond de ma question (puisque elle est pas claire):
oui le client peut faire ce qu'il veut, oui il peut m'envoyer ce qu'il
veut. et oui la verification se fait sur le serveur: donc comment on
peut effecteur un verification efficace.

sinon pour les session oui ca passe pas totalement par un cookie mais quand meme.

le serveur cr&#233;e un cookie avec un id (unique au client) dedans, ensuite
l'id est envoy&#233; au serveur qui ressorre a partir de l'id la(les)
variable(s) qu'il as en memoire.

L U C Y I3 E R @ D



ps: avoue quand meme que repondre une phrase comme ca c'est un peu pour faire chier: "
                
                Bah, un cookie, c'est sur le poste du client. Hors le client est roi, donc il fait ce qu'il veut !"

mais puisque tu sait mieux que moi je te demande donc d'expliquer et
ton 2eme post a &#233;t&#233; vraiment plus constructif et instructif que le 1er.

cs_Anthomicro · Answer

Je vois pas en quoi son premier post n'&#233;tait pas constructif...

FhX · Answer

" sinon pour les session oui ca passe pas totalement par un cookie mais quand meme.


le serveur cr&#233;e un cookie avec un id (unique au client) dedans, ensuite
l'id est envoy&#233; au serveur qui ressorre a partir de l'id la(les)
variable(s) qu'il as en memoire."Faux, l'ID est CONSERVER dans un fichier serveur qui se le consulte lui m&#234;me tout seul !

La fichier de session ne fait pas mumuse entre le serveur et toi,
simplement les variables...et encore, ne sont modifiables que par le
serveur !



" ps: avoue quand meme que repondre une phrase comme ca c'est un
peu pour faire chier:" Bah pas forc&#233;ment ! C'est vrai que c'&#233;tait cru,
mais quand m&#234;me ;)

cs_Anthomicro · Answer

Non non, quand t'utilises les cookies il y a bien un cookie qui porte
l'id de ta session sur ton pc, et gr&#226;ce &#224; cet id le serveur sait &#224;
quelle session il a affaire

Lucyberad · Answer

tu voulai dire quand tu utilise les sessions anthomicro non?

L U C Y I3 E R @ D

cs_Anthomicro · Answer

oui les sessions mais avec l'utilisation des cookies (tu peux forcer
les sessions &#224; n'utiliser que les cookies pour qu'il n'y ait pas
d'identification de session dans l'url)



session.use_trans_sid=Off

FhX · Answer

"il y a bien un cookie qui porte l'id de ta session sur ton pc"Oui mais
c'est tout, tu peux pas en faire grand chose... A moins de connaitre un
autre identifiant de session :/ Donc au final, ca ne change &#224; rien.

cs_Anthomicro · Answer

Bah l&#224; oui, mais je r&#233;pondais &#224; ton affirmation fausse "Faux, l'ID est
CONSERVER dans un fichier serveur qui se le consulte lui m&#234;me tout seul
!"


Le fichier ne se consulte pas tout seul, pour savoir &#224; quel fichier le
serveur &#224; affaire, il y a l'id de session dans l'url ou dans un cookie.

FhX · Answer

Au temps pour moi... Si maintenant, c'est moi qui ai du mal avec la langue francaise, ca va plus aller :)

Lucyberad · Answer

ben voici des nouvelles, j'evolue bien sur le mfcrypt mais il s'avere que je fais kelke faux pas.

voila j'ai pris le tuto du lien et pis j'y arrive a moiti&#233;:

je m'explique, j'arrive bien a encoder un chaine, nikel mais y'as un
os, comme c'est indiqu&#233; dans le tuto ca doit etre random donc aleatoire
donc jamais la meme chaine encod&#233;e et mon code produit toujours le meme.



je continue et je dechiffre ma chaine encrypt&#233; (enfin mon code le fais
^^) et donc voila j'arrive bien a dechiffrer donc j'ai bien ma chaine
de depart mais deuxieme os, juste a cot&#233; s'ajoute des carr&#233;s, des
caracteres en forme de carr&#233;.



voila...


L U C Y I3 E R @ D

malalam · Answer

Lucyberad, c'est pour &#231;a que tu devrais hasher, en md5 ou en sha (ou
les 2, ma foi...). Un hashage reste toujours le m&#234;me pourune cha&#238;ne
donn&#233;e.



Pour tes carr&#233;s, probl&#232;me d'encodage de ta page sans doute.

malalam · Answer

N'emp&#234;che...tu n'&#233;viteras pas avec cette solution que l'utilisateur
doive s'identifier &#224; chaque venue sur ton site, si le coeur lui en dit.
Ou si son pc est configur&#233; comme tel (dans certaines bo&#238;tes par
exemple).

cs_Anthomicro · Answer

heu pourquoi ? perso j'ai un cookie et &#231;a s'identifie automatiquement :-)



sinon y'a une solution barbare, foutre les donn&#233;es de session dans le
cookie (bonjour les failles), et les v&#233;rifier ensuite (bonjour le
parsing)



bref oublie^^

Lucyberad · Answer

malalam > le cookie sert justement a faire qu'on puisse identifier automatiquement.

contrairement a la session qui elle ne permet de faire en sorte de conserver des donnees.



antho > j'oublie ^^



a tous > j'utilise les cookie car j'ai cr&#233;e un systeme de membre, et
je voulai foutre le pseudo dans le cookie pour en deduire qui est
connect&#233;. je me suis interres&#233; au mfcrypt car ca m'amuse. non serieux
c'est toujours bon d'en savoir plus et le sha ou md5 me forcerai a
faire un recherche sur la base donnees en fesant un sha ou md5 de tout
les pseudo ce qui fais un peu ralentir mais si je peut pas eviter je
ferai avec.

je ferai ca si j'y arrive pas avec mfcrypt.

L U C Y I3 E R @ D

cs_Anthomicro · Answer

tu peux pas via les cookies dire qui est connect&#233; ou pas (enfin si tu parles d'un compteur de connect&#233;s)

malalam · Answer

heu pourquoi ? perso j'ai un cookie et &#231;a s'identifie automatiquement :-)


                
                malalam > le cookie sert justement a faire qu'on puisse identifier automatiquement.



Parce qu'un cookie, justement, &#231;a s'efface. ET facilement. Tiens,
je vais nettoyer mon pc aujourd'hui. Ou tien, ma t&#226;che automatique de
nettoyage s'ex&#233;cute l&#224;...

Ou tien, si je vidais un peu les r&#233;pertoires temporaires diverses...

Ou tien, si je passais mon syst&#232;me au scan d'un logiciel anti spyware...

Ou tien, si je disais &#224; IE, Firefox, de nettoyer son cache/cookies...

Ou tien, si je refusais les cookies parce que on dit souvent que c'est dangereux tout &#231;a...



et tout &#231;a bien s&#251;r si je suis un utilisateur lambda, qui ne fait pas sp&#233;cialement attention &#224; ce qu'il fait.

Bref, un cookie, ce n'est pas la solution miracle. Ca ne marche que si l'utilisateur/son syst&#232;me le laisse marcher.



Je n'oppose pas l&#224; les cookies et les sessions...&#231;a ne sert pas tout &#224;
fait &#224; la m&#234;me chose finalement. Je dis juste que vouloir pr&#233;venir nos
utilisateurs de s'identifier &#224; chaque fois est :

- illusoire (si on a en t&#234;te d'absolument les pr&#233;venir de &#231;a)

- dangereux (tu ne sais pas d'o&#249; va se connecter ton utilisateur...de
chez lui ? Combien d'autres personnes utilisent son pc, et qui? D'un
cyber? aie...De son &#233;cole, de son taf...? ...etc).



Pour le "comptage", je rejoins antho. Tu comptes faire comment ?

cs_Anthomicro · Answer

"                                  heu pourquoi ? perso j'ai un cookie et &#231;a s'identifie automatiquement :-)"


idem :-)

Lucyberad · Answer

attention y'as une difference entre avoir un compteur de connect&#233; (bas&#233; sur ip completement denu&#233; de cookie) et un login.

un cookie est un fichier que l'on mets sur le pc client, moi mon site
dit de mettre dans un cookie que mon utilisateur as deja fais l'action
de se reconnaitre aupres du serveur et le serveur verifie donc a chak
fois si on est connect&#233; ou pas en verifiant dans le cookie.

voila alors prenons un exemple tres simple: phpcs, lorsque je veut
poster un message il faut etre membre et donc se faire reconnaitre,
apres avoir fais ca je peut poster mon message mais imaginons que le
soir j'ai deja eux une reponse, quand je revien sur le site pour y
repondre, j'ai aps la fenetre qui demande de me logger car je l'ai deja
fais le matin et que le serveur as marqu&#233; que je l'ai fais.

donc regardon maintenant le fait qu'un cookie soit effacable, c'est
tout simple si l'utilisateur ou un programme mis par l'utilisateur
(donc il est conscient que ca efface) decide d'effacer ou de bloquer
les cookie, tres bien mais temps pis pour lui (car un cookie ne se
bloque pas car ca a jamais fais de mal = avis perso) et il devra donc
pour poster son message phpcs se logger a chaque fois qu'il veut en
faire un nouveau. tant pis pour lui qui as decid&#233; de refuser cet option
qui peut etre facultative mais bien utile pour ceux qui veulent
profiter de cette options.

3eme partie: un cookie peut se modifier pour leurrer le serveur et se
faire passer pour autrui, voila donc pourquoi je cherche a trouver une
solution efficace pour securiser les cookie ou du moins se proteger des
cookie trafiqu&#233;.

4eme et derniere partie: il n'est pas illusoire de faire ce systeme par
les cookie: phpcs, vbfrance, hotmail, les cms comme php-nuke, runcms,
xoops...

et ce n'est pas dangereux pour l'utilisateur du fait que comme les site
precedemment cit&#233;, si il sont bien fait il y as une touche deconnexion
qui permet de detruire le cookie. donc fini les probleme de mauvais
login et les pro connaissant qu'un systeme comme ca utilise les cookie
seront rejoin pas les neophite ayant un bouton fesant tout
automatiquement. de plus une securit&#233; est ajout&#233; du fait que le cookie
est limit&#233; en dur&#233;e de vie pas une "date limite de comsommation".

Vive le progres ^^

L U C Y I3 E R @ D

cs_Anthomicro · Answer

"3eme partie: un cookie peut se modifier pour leurrer le serveur et se
faire passer pour autrui, voila donc pourquoi je cherche a trouver une
solution efficace pour securiser les cookie ou du moins se proteger des
cookie trafiqu&#233;."



il suffit de stocker le login et le pass en md5() et hop c'est
s&#233;curis&#233;, apr&#232;s tu fais une v&#233;rification au niveau de la base de
donn&#233;es pour le login et le pass, et hop c'est bon. Pense &#224; faire gaffe
aux caract&#232;res sp&#233;ciaux qui pourraient &#234;tre mis dans le cookie par
contre.

Lucyberad · Answer

aux caractere speciaux?

L U C Y I3 E R @ D

cs_Anthomicro · Answer

oui, aux failles de sql injection.

Lucyberad · Answer

ha ou&#233; c'est comme les htmlentities ou faut ajouter l'attribut ent_quotes pour eviter les commande sql.

j'imagine qu'il faut que je fasse un htmlentities au cookie?



sinon pour mfcrypt j'arrive pas a trouver mon probleme, il vas donc falloir que je donne des croquettes au sha.

...

...



ok, je sort. ^^

L U C Y I3 E R @ D

malalam · Answer

Il faut aussi (et surtout...htmlentities() ne bloquera pas une
injection sql) utiliser addslashes() ou mysql_real_escape_string ().



car un cookie ne se bloque
pas car ca a jamais fais de mal = avis perso



Ben justement...si. Un tracker, c'est chiant. Et &#231;a peut conduire &#224; d'autres choses...

Et le probl&#232;me des cookies et bien l&#224;. Beaucoup d'utilisateurs en ont
un peu peur, parce qu'il y a eu des abus. Bien s&#251;r, un utilisateur
averti s'en sortira, il bloquera les cookies provenant de sites dont il
n'est pas s&#251;r, et acceptera les autres. Pareil pour ce qui est
d'effacer. Mais ce n'est le cas que d'un utilisateur averti. Un
utilisateur non averti peut utiliser divers logiciels de nettoyage, et
crois moi, il ne les configurera pas, ne fera pas attention &#224; ce qu'il
efface. 

Bref...de toutes fa&#231;ons, c'est une question de choix. Ton syst&#232;me ne
marchera pas pour tout le monde, mais c'est normal. Aucun syst&#232;me ne
fonctionne universellement, en ce bas monde (&#224; part peut-&#234;tre les
produits microsoft ;-) ).

Donc, je n'ai pas dit que c'&#233;tait illusoire...j'ai juste dit que &#231;a ne
fonctionnerait que si l'utilisateur le veut bien, ou du moins, si son
syst&#232;me le veut bien (vu que tous les utilisateurs ne ma&#238;trisent pas
leur syst&#232;me, loin de l&#224;).



il suffit de stocker le login et le pass en md5() et hop c'est
s&#233;curis&#233;, apr&#232;s tu fais une v&#233;rification au niveau de la base de
donn&#233;es pour le login et le pass, et hop c'est bon.



J'ai lu quelquepart qu'il valait mieux commencer &#224; &#233;viter md5, car
il est maintenant cassable relativement facilement. sha est pr&#233;conis&#233;.
Ou un m&#233;lange de plusieurs md5, plusieurs sha, sha + md5, ou autre
hash.

cs_Anthomicro · Answer

Ou encore le md5 du md5



(bon ok on s'en sort plus)

Lucyberad · Answer

j'ai juste dit que &#231;a ne fonctionnerait que si l'utilisateur le veut bien



voila pourquoi j'ai fais un systeme, il se log ca cr&#233; le cookie et ca cr&#233;e un session.

quand le client revient sur le site il devra se relogguer car le site vois pas le cookie.

donc si l'utilisateur veut aps car il dit qu'il y as eux des abus, il
peut bloquer les cookie en ayant moins de possibilit&#233; mais en pouvant
quand meme se servir du site grace au session.



et pis en effet le md5 c'est facilement hackable (bruteforce) c'est
pourquoi j'ai deja fais un systeme md5 de md5 ou sha de sha ou md5 de
sha, etc...



voila.

L U C Y I3 E R @ D

Securiser un cookie

38 réponses

Votre réponse

Discussions similaires