[Sécurité] piratage login mdp

franfr57 · 09/06/2006, 11h11

BOnjou,
on m'a toujours conseillé de vérifier dans une page à part en php pure mes login et mot de passe pour empêcher le piratage!
J'ai rencontré quelq'un qui le faisé dans la page même du login
Est ce dangereux?
Si oui comment pirater por que je lui prouve que c'est dangereux?

Merci de vos réponses

Swoög · 09/06/2006, 11h18

Si c'est bien fait, il n'y a pas de raison que ce soit dangeureux...

Ensuite pour des raisons de lisibilité du code, il vaut mieux le faire dans un script séparé, mais ça change pas vraiment grand chose...

Bebel · 09/06/2006, 11h19

Et un truc con aussi, je pense que les données sont envoyées en post. Et le truc chiant c'est quand tu fais F5, c'est la fameuse boite "voulez vous reposter les données". Chose qui n'arrive pas si tu l'envoie vers une autre page.

chaced · 09/06/2006, 17h51

Citation:

Envoyé par Bebel

Et un truc con aussi, je pense que les données sont envoyées en post. Et le truc chiant c'est quand tu fais F5, c'est la fameuse boite "voulez vous reposter les données". Chose qui n'arrive pas si tu l'envoie vers une autre page.

Fait ton authentifiaction, puis des que c'est fait, redirige la page en php, genre tu as ta pages
Acceuil.php ou l'utilisateur entre son login et pass, puis par form, il va sur connect.php.

Dans connect.php, si le login ou mot de passe n'est pas valide,tu renvois sur acceuil.php?incorrecte=1
Si il est ok, tu tu valide ta sessions ou cookie et tu redirige sur la bonne page.

kankrelune · 10/06/2006, 14h51

L'interet de décentraliser la page contenant la routine d'authentification c'est de pouvoir l'inclure n'importe où pour déclencher l'authentification... pour le reste (refresh, sécurité, gestion des erreurs, etc) ça ne change strictement rien... .. .

@ tchaOo°

highman · 12/06/2006, 14h07

rohhh le monsieur .. personne lui dit comment pirater un login ! moi je sais pas ....

Him · 12/06/2006, 14h16

pitetre parceque c'est mal de vouloir savoir pirater un login...

en plus vu qu'il ne le redemande pas lui même ca sent trop la question "bateau" pour nous aiguiller dans des idées, mais le fond lui n'en est autre

Fladnag · 12/06/2006, 17h14

Citation:

Envoyé par Him

pitetre parceque c'est mal de vouloir savoir pirater un login...

La connaissance n'est pas mauvaise, seule l'utilisation de la connaissance peut l'etre ;o) et puis je prefere savoir comment on fait pour me pirater afin de mieux me defendre et me proteger plutot que d'avancer a tatons parmis des pirates qui en savent plus que moi...

Hervé Saladin · 12/06/2006, 18h36

Les failles les plus courantes dans un système d'authentification développé par un débutant sont les vulnérabilités aux injections SQL et aux cookies forgés.
Il est assez facile de s'en protèger, le tout c'est de savoir que ça éxiste ...

Citation:

Envoyé par Fladnag

La connaissance n'est pas mauvaise, seule l'utilisation de la connaissance peut l'etre ;o) et puis je prefere savoir comment on fait pour me pirater afin de mieux me defendre et me proteger plutot que d'avancer a tatons parmis des pirates qui en savent plus que moi...

Je suis 100% d'accord avec toi sur le principe, mais on ne peut pas se permettre de donner des recettes pour newbie apprenti hacker sur developpez, ce n'est pas le but de ce forum. Pour celui qui veut en savoir plus sur ce genre de technique, il n'aura pas de mal à trouver sur google.

Him · 12/06/2006, 18h39

maintenant, si tu le souhaites, donne nous l'url de son site,
& on pourras te donner les preuves nécéssaires

Du moin, si vraiment un manque de sécurité il ya

09/06/2006, 11h11	#1
franfr57 Membre régulier Inscription : janvier 2006 Messages : 675 Détails du profil Informations forums : Inscription : janvier 2006 Messages : 675 Points : 74 Points : 74	[Sécurité] piratage login mdp BOnjou, on m'a toujours conseillé de vérifier dans une page à part en php pure mes login et mot de passe pour empêcher le piratage! J'ai rencontré quelq'un qui le faisé dans la page même du login Est ce dangereux? Si oui comment pirater por que je lui prouve que c'est dangereux? Merci de vos réponses
	00

09/06/2006, 11h18	#2
Swoög Rédacteur Inscription : janvier 2003 Messages : 6 053 Détails du profil Informations personnelles : Âge : 24 Informations forums : Inscription : janvier 2003 Messages : 6 053 Points : 7 144 Points : 7 144	Si c'est bien fait, il n'y a pas de raison que ce soit dangeureux... Ensuite pour des raisons de lisibilité du code, il vaut mieux le faire dans un script séparé, mais ça change pas vraiment grand chose... __________________ Rédacteur "éclectique" (XML, IRC, Web...) Les Règles du Forum - Mon Site Web sur DVP.com (Développement Web, PHP, (X)HTML/CSS, SQL, XML, IRC) je ne répondrai à aucune question technique via MP, MSN ou Skype : les Forums sont là pour ça !!! Merci de me demander avant de m'ajouter à vos contacts sinon je bloque ! pensez à la balise [code] (bouton #) et au tag (en bas)
	00

09/06/2006, 11h19	#3
Bebel Membre Expert David B. Développeur informatique Inscription : avril 2003 Messages : 742 Détails du profil Informations personnelles : Nom : David B. Âge : 29 Localisation : France, Haute Garonne (Midi Pyrénées) Informations professionnelles : Activité : Développeur informatique Secteur : Aéronautique - Marine - Espace - Armement Informations forums : Inscription : avril 2003 Messages : 742 Points : 1 085 Points : 1 085	Et un truc con aussi, je pense que les données sont envoyées en post. Et le truc chiant c'est quand tu fais F5, c'est la fameuse boite "voulez vous reposter les données". Chose qui n'arrive pas si tu l'envoie vers une autre page. __________________ Tout énigme a une solution ! Tout est question de discipline !
	00

10/06/2006, 14h51	#5
kankrelune Membre chevronné Inscription : décembre 2005 Messages : 766 Détails du profil Informations forums : Inscription : décembre 2005 Messages : 766 Points : 745 Points : 745	L'interet de décentraliser la page contenant la routine d'authentification c'est de pouvoir l'inclure n'importe où pour déclencher l'authentification... pour le reste (refresh, sécurité, gestion des erreurs, etc) ça ne change strictement rien... .. . @ tchaOo° __________________ la doc php / error_reporting(E_ALL) / register_globals à off et
	00

12/06/2006, 14h07	#6
highman Membre habitué Inscription : mars 2006 Messages : 186 Détails du profil Informations personnelles : Âge : 26 Localisation : France, Bas Rhin (Alsace) Informations forums : Inscription : mars 2006 Messages : 186 Points : 120 Points : 120	rohhh le monsieur .. personne lui dit comment pirater un login ! moi je sais pas ....
	00

12/06/2006, 14h16	#7
Him Membre régulier Inscription : février 2006 Messages : 244 Détails du profil Informations personnelles : Âge : 27 Localisation : Belgique Informations forums : Inscription : février 2006 Messages : 244 Points : 79 Points : 79	pitetre parceque c'est mal de vouloir savoir pirater un login... en plus vu qu'il ne le redemande pas lui même ca sent trop la question "bateau" pour nous aiguiller dans des idées, mais le fond lui n'en est autre
	00

12/06/2006, 18h39	#10
Him Membre régulier Inscription : février 2006 Messages : 244 Détails du profil Informations personnelles : Âge : 27 Localisation : Belgique Informations forums : Inscription : février 2006 Messages : 244 Points : 79 Points : 79	maintenant, si tu le souhaites, donne nous l'url de son site, & on pourras te donner les preuves nécéssaires Du moin, si vraiment un manque de sécurité il ya
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email