[PHP 5.0] $_SESSION * et AS3

BByani · 06/07/2011, 13h04

Bonjour à tous.

En ce qui concerne les sessions, quel est le moyen le plus "sure" pour authentifié un client via un formulaire html.
Faut-il absolument passé par le SSL ? ou existe t'il des méthode qui permettent d'éviter le hijacking par exemple ?

Passé par un fichier swf pour loger un utilisateur est une bonne ou mauvaise chose ? je m'explique:

Je créer un fichier as3 (swf) avec 2 champs (login / password ) et un bouton submit. L'utilisateur entre sont login et password et appuie sur le bouton connexion. La une fonction (en as3) crypte les données (en fonction de l'unix time stamp par exemple ou microtime => donc la le but est de crypter coter client en corrélation avec un clé envoyé par le serveur) et envoyé les données par une méthode POST et remplir (si les logs sont corrects -> bdd) les $_session.

Si je n'ai pas été clair je mettrai une illustration.

alain31tl · 17/07/2011, 00h43

Bonjour,

Déjà l'utilisation de formulaires swf a un avantage par rapport à ceux classiques.
C'est que les nom des champs à renseigner restent inconnus, à l'inverse d'un formulaire html par exemple.
Celà ne veut pas dire qu'il ne faut pas prendre de précautions :
(xwr_login , VzU_password)
C'est déjà ça de pris.

Perso, je migre tous mes formulaires (identification, contact, etc...) vers des applic swf.
Mais j'utilise 2 méthodes différentes.

Pour certains, j'utiliserai le composant HTTPService, classique.
Par conséquent en lien avec un fichier PHP évidemment.
Pas rencontré d'incident, mais je ne peux pas garantir la vulnérabilité ou non de cette solution.

La suivante, mon formulaire swf (mxml) renvoie les variables vers son script AS3 chargé au bout du compte de la méthod POST, certainement comme tu procédes.
Pour ce faire, j'avoue m'être inspiré de certaines API de paypal.
Jusqu'à preuve du contraire, ils ne semblent pas avoir été "taquiné" par des voleurs de sessions.
Ou alors ça se saurait, ceci dit, ils utilisent aussi https.

Mais ta façon de procéder, c'est à dire de crypter les données me semble interressante, en tout cas plus compléte que les miennes.
Le hic, c'est que j'ignore à quel stade de la procédure un hijacker peut initier une interception.
Pendant la phase client/ serveur, ou serveur/client.(??)
Ce serait interressant de le savoir...

06/07/2011, 13h04	#1
BByani Nouveau Membre du Club Yann Vangampelaere Développeur Web Inscription : juillet 2011 Messages : 30 Détails du profil Informations personnelles : Nom : Yann Vangampelaere Localisation : Belgique Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : juillet 2011 Messages : 30 Points : 37 Points : 37	*$_SESSION et AS3** Bonjour à tous. En ce qui concerne les sessions, quel est le moyen le plus "sure" pour authentifié un client via un formulaire html. Faut-il absolument passé par le SSL ? ou existe t'il des méthode qui permettent d'éviter le hijacking par exemple ? Passé par un fichier swf pour loger un utilisateur est une bonne ou mauvaise chose ? je m'explique: Je créer un fichier as3 (swf) avec 2 champs (login / password ) et un bouton submit. L'utilisateur entre sont login et password et appuie sur le bouton connexion. La une fonction (en as3) crypte les données (en fonction de l'unix time stamp par exemple ou microtime => donc la le but est de crypter coter client en corrélation avec un clé envoyé par le serveur) et envoyé les données par une méthode POST et remplir (si les logs sont corrects -> bdd) les $_session. Si je n'ai pas été clair je mettrai une illustration.
	00

17/07/2011, 00h43	#2
alain31tl Membre émérite Alain Inscription : novembre 2005 Messages : 897 Détails du profil Informations personnelles : Nom : Alain Localisation : France, Haute Garonne (Midi Pyrénées) Informations forums : Inscription : novembre 2005 Messages : 897 Points : 910 Points : 910	Bonjour, Déjà l'utilisation de formulaires swf a un avantage par rapport à ceux classiques. C'est que les nom des champs à renseigner restent inconnus, à l'inverse d'un formulaire html par exemple. Celà ne veut pas dire qu'il ne faut pas prendre de précautions : (xwr_login , VzU_password) C'est déjà ça de pris. Perso, je migre tous mes formulaires (identification, contact, etc...) vers des applic swf. Mais j'utilise 2 méthodes différentes. Pour certains, j'utiliserai le composant HTTPService, classique. Par conséquent en lien avec un fichier PHP évidemment. Pas rencontré d'incident, mais je ne peux pas garantir la vulnérabilité ou non de cette solution. La suivante, mon formulaire swf (mxml) renvoie les variables vers son script AS3 chargé au bout du compte de la méthod POST, certainement comme tu procédes. Pour ce faire, j'avoue m'être inspiré de certaines API de paypal. Jusqu'à preuve du contraire, ils ne semblent pas avoir été "taquiné" par des voleurs de sessions. Ou alors ça se saurait, ceci dit, ils utilisent aussi https. Mais ta façon de procéder, c'est à dire de crypter les données me semble interressante, en tout cas plus compléte que les miennes. Le hic, c'est que j'ignore à quel stade de la procédure un hijacker peut initier une interception. Pendant la phase client/ serveur, ou serveur/client.(??) Ce serait interressant de le savoir... __________________ Ce n'est pas parce que les choses sont difficiles qu'on n'ose pas les entreprendre. C'est parce qu'on n'ose pas les entreprendre qu'elles sont difficiles.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email