IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

Espace membre


Sujet :

Langage PHP

  1. #1
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut Espace membre
    Salut!

    Suite à ce topic, je vous propose aux membres du forum, d'améliorer le code.

    L'objectif de cet espace membre est qu'il soit paramètrable, qu'on puisse obtenir un espace plus ou moins sécurisé selon l'utilité de chacun... Je souhaite aussi pouvoir l'intégrer facilement dans un site... Par exemple, mettre le menu de connexion dans un petit cadre et que tout le reste du programme s'affiche dans la page centrale, une frame, une popup, ou un div... J'aimerais surtout que cet espace membre reste facile d'utilisation pour les développeurs qui l'utiliseront... Et enfin, nous ajouterons des fonctions de sécurité pour arriver au final à un espace membre de qualité!

    J'ai commencé à écrire une doc sur le projet:
    http://espm.gotdns.org/doc/doc.htm

    [EDIT]

    Voici le lien de téléchargement du programme :
    http://sub0.developpez.com/php/espmem_v2.zip

    Installation : Une fois l'archive décompressée sur votre site, mettez les droits d'écriture pour le dossier "images" (chmod 777) et configurez votre accès dans le script "config.php". N'oubliez pas de créer la table "membres" grâce au fichier SQL de l'archive... Voici une solution si vous obtenez le message d'erreur "Alerte sécurité : Register_globals doit être mis à off!", sinon supprimer la détection dans le script "function.php"...

    Très prochainement, la version 3 !

    Merci à tous pour votre participation!
    De retour parmis vous après 10 ans!!

  2. #2
    Expert éminent sénior
    Avatar de mathieu
    Profil pro
    Inscrit en
    Juin 2003
    Messages
    10 213
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2003
    Messages : 10 213
    Points : 15 499
    Points
    15 499
    Par défaut
    j'ai pas l'habitude de poster sur ce forum alors je sais si ma remarque est bien placée ici

    ma remarque concerne la taille des champs du type "varchar". ce type de champ adapte ça taille en fonction du contenu donc quelque soit la limite qu'on précise une chaîne d'une certaine taille prendra la même place en mémoire.
    donc ce type de champ peut avoir une taille de 255 sans problème de stockage ou de performance. à mon avis la seule raison de réduire cette taille limite c'est dans le cas où une chaîne trop longue peut provoquer des problèmes dans le logiciel qui utilise ces données.
    en plus en réduisant cette taille tu peux te bloquer pour les évolutions futures, par exemple la taille du champ "IP" est prévus pour les adresses de 15 caractères max (xxx.xxx.xxx.xxx) mais les adresses IPV6 sont beaucoup plus grandes



    cool je viens de voir que je suis cité dans les remerciements
    m@ mériterai des remerciements spéciaux pour le super résumé qu'il a fait sur les techniques de sécurité

  3. #3
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Salut!
    j'ai pas l'habitude de poster sur ce forum alors je sais si ma remarque est bien placée ici
    Si si! Nous sommes ici pour discuter ensemble des améliorations du projet!
    Je peux toujours déplacer le topic dans un autre forum si nécessaire...
    cool je viens de voir que je suis cité dans les remerciements
    m@ mériterai des remerciements spéciaux pour le super résumé qu'il a fait sur les techniques de sécurité
    C'est fait!! Pour info, m@ deviendra très prochainement "rédacteur" sur dvp! à+
    De retour parmis vous après 10 ans!!

  4. #4
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Quelques remarques :
    + Dans le fichier session.php, tu verifie si la session est valide. Dans le cas ou elle n'est pas valide, tu devrais la detruire + rediriger, au lieu de faire une simple redirection.
    + Tu pourrais ajouter une variable permettant de desactiver la recuperation de mot de passe perdu.
    + Une question : dans ta fonction MyDie() tu utilises usleep(), pkoi ?
    + Dans membres.php, tu fais un include "session.php" puis tu redemarre la session. C'est inutile puisque session.php l'aura forcement deja fait.

    Une remarque sur la securite :
    A l'inscription et a la connexion tu fais transiter le mot de passe en clair. Tu devrais le hasher en javascript avant de l'envoyer, puis vider le champs mot de passe pour qu'il ne soit jamais transmis en clair. Pour augmenter la securite tu peux meme saler le mot de passe cote client. Pour cela, il suffit de creer un sel derivant du login, et l'utiliser pour hasher le mot de passe. C'est tres efficace cote securite (c'est le mieux qu'on puisse faire sans SSL).
    Voici un exemple de code :

    Le formulaire pour se logger :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    <form action='auth.php' method='post' onsubmit='return submit_pass&#40;&#41;'>
    <input type='hidden' name='md5' value='' />
    <br />Login &#58;</td><td width='20'></td><td><input type='text' name='user' />
    <br />Mot de passe &#58;</td><td></td><td><input type='password' name='passwd' />
    <br /><input type='submit' value='Valider' /></td></tr>
    </form>
    Le code javascript :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    38
    39
    40
    41
    42
    43
    44
    45
    46
    47
    48
    49
    50
    51
    52
    53
    54
    55
    56
    57
    58
    59
    // La fonciton MD5 est definie avant mais ne presente aucun interet.
     
    function permut_str&#40;buf&#41;
    &#123;
      var buf1;
      var i;
      var permut=new Array&#40;32&#41;;
      permut&#91;0&#93;=9;
      permut&#91;1&#93;=18;
      permut&#91;2&#93;=7;
      permut&#91;3&#93;=28;
      permut&#91;4&#93;=21;
      permut&#91;5&#93;=13;
      permut&#91;6&#93;=27;
      permut&#91;7&#93;=14;
      permut&#91;8&#93;=2;
      permut&#91;9&#93;=32;
      permut&#91;10&#93;=10;
      permut&#91;11&#93;=4;
      permut&#91;12&#93;=12;
      permut&#91;13&#93;=5;
      permut&#91;14&#93;=31;
      permut&#91;15&#93;=15;
      permut&#91;16&#93;=24;
      permut&#91;17&#93;=17;
      permut&#91;18&#93;=1;
      permut&#91;19&#93;=29;
      permut&#91;20&#93;=8;
      permut&#91;21&#93;=3;
      permut&#91;22&#93;=26;
      permut&#91;23&#93;=30;
      permut&#91;24&#93;=11;
      permut&#91;25&#93;=19;
      permut&#91;26&#93;=25;
      permut&#91;27&#93;=23;
      permut&#91;28&#93;=6;
      permut&#91;29&#93;=20;
      permut&#91;30&#93;=22;
      permut&#91;31&#93;=16;
      buf1="";
      for&#40;i=0;i<32;i++&#41;
      &#123;
        buf1+=buf.charAt&#40;permut&#91;i&#93;-1&#41;;
      &#125;
      return buf1;
    &#125;
     
    function submit_pass&#40;&#41;
    &#123;
      passwd=document.forms&#91;0&#93;.passwd.value;
      document.forms&#91;0&#93;.passwd.value="";
     
      md5_user=MD5&#40;document.forms&#91;0&#93;.user.value&#41;;
      md5_passwd=MD5&#40;passwd&#41;;
      passwd=permut_str&#40;md5_user&#41;+passwd;
      document.forms&#91;0&#93;.md5.value=MD5&#40;passwd&#41;;
     
      return true;
    &#125;
    Voila, j'utilise un sel de 128 bits (ce qui est enorme, pas de pb de ce cote).
    La permutation du MD5 est tres importante. Aucun autre site ne doit utiliser la meme. Si on recupere le MD5 on peut avoir acces a tous les sites qui utilisent la meme permutation (mais seulement a ceux la). C'est donc important de ne jamais utiliser la meme sur differents sites. Comme il y a environ 10^35 permutation possible, on peut considerer qu'elle est unique si on la choisi au hasard. Elle n'a pas besoin d'etre tenue secrete.

    L'interet :
    On ne peux jamais obtenir le mdp car il ne transite jamais sur le reseau en clair. Si le serveur est pirate, on aura acces au compte sur le serveur (c'est inevitable) mais meme si l'utilisateur utilises le meme mdp pour un autre site, le pirate ne pourra pas gagner l'acces a cet autre site (sauf si il utilise la meme permutation, ce qui est statistiquement impossible).

    Voila, j'espere que mes quelques remarques te seront utiles.
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  5. #5
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Voila, j'espere que mes quelques remarques te seront utiles.
    Oui, je te le confirme!
    Dans le fichier session.php, tu verifie si la session est valide. Dans le cas ou elle n'est pas valide, tu devrais la detruire + rediriger, au lieu de faire une simple redirection.
    Bien vu!
    Tu pourrais ajouter une variable permettant de desactiver la recuperation de mot de passe perdu.
    Pourquoi pas, mais dans quel but?
    Une question : dans ta fonction MyDie() tu utilises usleep(), pkoi ?
    Je ne me souviens plus trop pkoi, je vais chercher (peut-être pour les essais).
    En général, si j'ajoute des tempos, c'est pour ralentir le système pour contrer les robots...
    Dans membres.php, tu fais un include "session.php" puis tu redemarre la session. C'est inutile puisque session.php l'aura forcement deja fait.
    Bien vu là encore! Ces modifs seront apportées dans la prochaine version.
    En ce qui concerne le hashage du mdp côté client, je suis d'accord pour dire que c'est vrai que c'est absolument nécessaire si l'espace membre n'est pas sécurisé avec le SSL. Donc effectivement, il faudrait ajouter ce hashage en option... dans la prochaine version! Qu'en pensent les autres membres?
    Merci pour tout Bob!
    De retour parmis vous après 10 ans!!

  6. #6
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    En ce qui concerne la recuperation du mot de passe, c'est tres mauvais pour la securite. Dans le cas d'un site necessitant une securite elevee, ca peut etre utile de le desactiver. Parce que ca ne sert a rien d'avoir un sites tres securise si le fournisseur mail n'est pas au moins aussi securise (et c'est rarement le cas).

    Pour la tempo, vu qu'elle est de 2000 µs (soit 2 ms) je ne pense pas qu'elle soit tres utile vu les delais de reponse du serveur...
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  7. #7
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    En ce qui concerne la recuperation du mot de passe, c'est tres mauvais pour la securite. Dans le cas d'un site necessitant une securite elevee, ca peut etre utile de le desactiver. Parce que ca ne sert a rien d'avoir un sites tres securise si le fournisseur mail n'est pas au moins aussi securise (et c'est rarement le cas).
    La solution que nous avions imaginé pour résoudre ce problème était de divulguer le nouveau mot de passe dans une page du site via un lien dans le mail. Cela éviterait de devoir donner le nouveau mdp dans le mail... Important: La session et l'ip permettraient de vérifier l'identité du demandeur et ainsi de contrer les voleurs de mail... Mais bon, le pirate qui possède toutes les informations nécessaires aura la possibilité de s'approprier le compte... Une autre solution envisageable: PGP... Cela pourrait être en option, donner la possibilité au membre de crypter les mails de l'espace membre... Mais là encore, le pirate qui possède toutes les infos, pourra s'approprier le compte il me semble.
    En ce qui concerne la tempo dans MyDie(), je vais chercher pkoi je l'avais ajouté.
    Je me suis trompé: Je croyais que usleep(2000) me donnait 2 secondes de pause!! Je connais usleep pourtant, je me suis mélangé les pinceaux en créant une fonction "sleep" en ms...
    De retour parmis vous après 10 ans!!

  8. #8
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Le probleme si tu autorise la recuperation du mot de passe est que dans tous les cas, si la boite mail est piratee, il suffit de redemander un nouveau mot de passe pour avoir acces au compte.
    Cela implique que tu fais confiance au fournisseur mail et que tu supposes qu'il est aussi difficile de pirater son systeme que le tien...
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  9. #9
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Que se passe-t-il si un membre perd son mot de passe? Comment pourra-t-il le récupérer ou accéder à son compte à nouveau? Je crois aussi que nous avions parlé de question secrète (comme pour hotmail)... Que penses-tu de cette méthode?
    De retour parmis vous après 10 ans!!

  10. #10
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Il y a plusieurs solutions (tu pourrais peut etre rendre cela configurable)
    Soit tu veux une securite tres haute, et si l'utilisateur perd son mot de passe, il ne peut pas le recuperer. Ou alors, on envoie par la poste un nouveau mot de passe. C'est ce systeme qui est utilise par wanadoo (renvoi par la poste). C'est utilie pour une securite optimale.
    Soit tu renvoie directement le mdp par mail (comme c'est pour le moment), ce qui est moyen pour la securite.
    Soit tu utilises un systeme plus ou moins complexe pour eviter les abus... Question secrete, date de naissance, .... la il aut trouver qq chose de convainquant. Et si il a tout bon, tu lui envoie sur sa boite mail.
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  11. #11
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Par courrier: Comme le membre ne sera pas identifié, n'importe qui pourra faire la demande à la place du membre. Je risque donc de me retrouver à envoyer par la poste, des mots de passe tous les jours (bonjour les frais de timbres et la perte de temps, pour peu que le pirate travaille à la poste... ). Bon, il ya aussi la possibilté de limiter le nombre de demande, d'envoyer un mail pour que le membre puisse confirmer sa demande, etc...
    De retour parmis vous après 10 ans!!

  12. #12
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Non, par courrier, c'est pour la recuperation du mot de passe. C'est si le membre est enregistre, et a donne son adresse lors de l'enregistrmenet.
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  13. #13
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    Tu enregistres l'adresse postal du membre à son inscription, s'il perd son mot de passe, tu lui redemande son adresse, et si les deux correspondent, alors tu lui envoie son pass par courrier...
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

  14. #14
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Très bien. J'en profite pour vous poser une question: A votre avis, pensez-vous qu'il soit mieux de développer un espace membre configurable (de pas sécurisé à ultra sécurisé), ou bien développer plusieurs versions, une pour chaque niveau de sécurité?
    De retour parmis vous après 10 ans!!

  15. #15
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    Bah, je vois pas l'intêret de rendre la configuration du niveau de sécurité possible sauf du point de vue déploiement :

    ça pourrait être utile dans ce cas :

    Dans le Package de déploiement, chaque fonction de sécrurité, est stockée séparément : un fichier = une fonction...

    Au moment de l'installation de l'espace membre, le Webmaster choisi ses options une à une, un fichier contenant toutes les fonctions nécessaire est généré à partir de tous les petits fichiers selon les choix du Webmaster, les petits fichiers sont ensuite supprimés, ainsi : impossible de changer le niveau de sécurité à l'avenir...

    sinon, changer dynamiquement le niveau de sécurité, je ne vois pas très bien l'intérêt, si ce n'est une faille potentielle... (un problème dans la base de données, ou dans les fichiers de configuration, et tout le système baisse de niveau de sécurité... )

    Enfin, ce n'est que mon point de vue...
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

  16. #16
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Ton idée est pas mal du tout Swoög! :o En fait je pensais proposer le téléchargement entre 3 versions (par exemple), version normale, version sécurisée, version ultra sécurisée... ou alors une seule version configurable. Mais l'idée d'une install me séduit bien aussi! N'hésitez pas à donner votre avis (vous n'êtes pas obligés de le justifier)!

    Donc pensez-vous qu'il soit mieux de développer un espace membre configurable (de pas sécurisé à ultra sécurisé), ou bien développer plusieurs versions, une pour chaque niveau de sécurité, ou bien une version installable avec le choix de toutes les options?
    De retour parmis vous après 10 ans!!

  17. #17
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Je serais plutot partisan d'un meme espace configurable. Ca t'evitera de faire du copier/coller... De plus on peut facilement faire evoluer l'espace en fonction des besoins, plutot que de devoir reinstaller un espace a chaque fois.
    Par contre, tu pourrais peut etre faire des niveaux preregles, securite basse, moyenne, haute, ... Qui configureraient l'ensemble des options au niveau de securite desire.

    Pour l'histoire du courier, voila ce que je voulais dire :
    A l'inscription, le membre donne son adresse postale. En cas de perte, il clique sur le lien, j'ai perdu mon mot de passe. Et les identifiants sont renvoyes a l'adresse postale qu'il a defini a son inscription.
    C'est ce que pratique wanadoo. J'avai perdu l'identificant d'une de mes boites mails. J'ai fait une demande a leur service, et il m'ont renvoye le mdp a mon adresse de facturation.
    Bien entendu, c'est assez lourd a faire, mais pour des trucs vraiment important (banque, FAI, ...) c'est realisbable.
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  18. #18
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    tu pourrais peut etre faire des niveaux preregles
    Là aussi je suis intérressé!
    Pour le moment, je pense que nous ferons un "setup" d'installation que si cela est vraiment nécessaire (bdd très différentes suivant le niveau de sécurité par exemple). On garde l'idée d'une page de réglages avec le choix de niveaux préréglés. Il faudra simplement bien prendre garde que les niveaux restent compatibles entre eux si nous choisissons un menu de config "dynamique"...

    C'est ce que pratique wanadoo
    Je ne connais pas Wanadoo, mais un ptit malin peut s'amuser à faire des demandes au hasard, non?
    à moins que cette page réclame une confirmation de ton adresse postale, mais tu ne l'as pas précisé...
    De retour parmis vous après 10 ans!!

  19. #19
    Bob
    Bob est déconnecté
    Membre éclairé
    Avatar de Bob
    Inscrit en
    Mars 2002
    Messages
    115
    Détails du profil
    Informations forums :
    Inscription : Mars 2002
    Messages : 115
    Points : 866
    Points
    866
    Par défaut
    Je ne connais pas Wanadoo, mais un ptit malin peut s'amuser à faire des demandes au hasard, non?
    Le nombre de demande doit etre tres limite pour chaque compte a mon avis car wanadoo ne demande aucune confirmation. Mais meme si qqn faisait une demande, elle te serait adresse quand meme de toute facon, donc ca ne poserait pas vraiment de pb.
    Bob, Rédacteur C/C++ & PHP
    http://bob.developpez.com/

  20. #20
    Expert éminent
    Avatar de Swoög
    Profil pro
    Inscrit en
    Janvier 2003
    Messages
    6 045
    Détails du profil
    Informations personnelles :
    Âge : 36
    Localisation : France

    Informations forums :
    Inscription : Janvier 2003
    Messages : 6 045
    Points : 8 339
    Points
    8 339
    Par défaut
    J'en profite tant que je peux pour poster

    Je pense que limiter le nombre de demande d'envoie de pass par la poste et vérifier l'adresse postale (vérification du couple pseudo + adresse postale) pour chaque demande serait largement suffisant...

    Il faut également se dire qu'un oublie de mot de passe est quand même sensé être exceptionnel, donc il ne devrait pas y avoir trop de demandes...

    et puis au-delà d'une limite, on peut toujours mettre un envoie sous condition d'un système type allopass comme ça, ça permettra de réduire les "frais postaux" au stricte minimum....
    Rédacteur "éclectique" (XML, Cours PHP, Cours JavaScript, IRC, Web...)
    Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC)
    je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque !
    pensez à la balise [ code ] (bouton #) et au tag (en bas)

Discussions similaires

  1. Réponses: 197
    Dernier message: 27/04/2021, 01h11
  2. [Sécurité] Réalisation d'un espace membre
    Par Goundy dans le forum Langage
    Réponses: 3
    Dernier message: 30/01/2006, 20h01
  3. Redirection personnalisée espace membre
    Par vinche999 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 5
    Dernier message: 28/01/2006, 23h39
  4. [Sécurité] espace membre
    Par Emcy dans le forum Langage
    Réponses: 5
    Dernier message: 24/01/2006, 20h13
  5. [Sécurité] Probleme d'espace membre
    Par warmup dans le forum Langage
    Réponses: 4
    Dernier message: 01/12/2005, 02h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo