SAaD44
Messages postés69Date d'inscriptionmercredi 18 février 2004StatutMembreDernière intervention 6 décembre 2007
-
2 nov. 2006 à 00:24
SAaD44
Messages postés69Date d'inscriptionmercredi 18 février 2004StatutMembreDernière intervention 6 décembre 2007
-
3 nov. 2006 à 19:27
Bonsoir,
Je m'adonner au joie des cookies ce soir lorsqu'une question toute bête m'est venue à l'esprit :
J'utilise les cookies sur mon site web.
A la connection (si l'utilisateur le souhaite) un cookie est crée contenant son id (unique) dans la base de données.
Ensuite, lorsqu'il revient, le site vérifie si ce cookie existe et utilise alors sa valeur pour logguer automatiquement l'utilisateur sur le site.
Ma question est, si un utilisateur (malintentionné) arrive à change la valeur dans son cookie (est-ce possible?) lui permettant de se logguer automatiquement à mon site, pourra-t-il se logguer avec un autre id, et donc sur un autre compte?Si oui quelle solution la plus sécurisée pourriez-vous me proposer?
audayls
Messages postés373Date d'inscriptionsamedi 9 juillet 2005StatutMembreDernière intervention11 août 2008 2 nov. 2006 à 00:50
Salut,
Modifier un cookie, cela doit être possible puisque après "l'impossible est en cours" mdr
A la rigueur, je pense que si tu inclues un paramètre supplémentaire la tâche de cet utilisateur sera plus corsée.
Par exemple : tu mets l'ID + le nom d'utilisateur crypté (ou le mot de passe crypté).
cs_garfield90
Messages postés388Date d'inscriptionlundi 7 juillet 2003StatutWebmasterDernière intervention10 février 2009 2 nov. 2006 à 14:44
Les cookies ne doivent jamais servir de systeme d'identification d'un utilisateur car ils sont stocké sur le poste client ( donc modifiable a souhait), ils ne sont utile que pour la personnalisation (donc ne mettre aucune donnée sensible dedans)
Il existe en php les sessions qui sont beaucoup plus sécurisé car coté serveur (mais bon, ca n'empeche pas leur falsification)
"They are 10 sorts of persons whose understand binary and whose not"
SAaD44
Messages postés69Date d'inscriptionmercredi 18 février 2004StatutMembreDernière intervention 6 décembre 2007 2 nov. 2006 à 19:09
oui
en fait c'est pour éviter que l'utilisateur ait à se reconnecter à chaque visite, donc les sessions je les utilise déjà mais entre les visites elles ne me sont pas d'un grand secours
Pour ce qui est des cookies la solution de coucou747 est pô bête du tout ! C'est celle là qui est la plus utilisée?
Bye & merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 3 nov. 2006 à 11:21
Salut,
en fait, tu peux faire un mélange des deux, mais ça dépend du nombre de requettes sql que tu fais et de comment tu les fait... faire une requette à chaque fois juste pour savoir si c'est la bonne personne, c'est pas bon du tout...
In a dream, I saw me, drop dead... U was there, U cried... It was just a dream, if I die, U won't cry, maybe, U'll be happy
Mon site (articles sur la programmation et programmes)