[Cookies] Authentification par cookie

Sergejack · 16/07/2006, 12h14

Quelle est selon vous la manière la plus appropriée d'employer des cookies pour identifier un utilisateur ? (en combinaison avec des sessions peut-être mais qui permet en tout cas à l'utilisateur de ne plus devoir s'identifier manuellement)

Eusebius · 16/07/2006, 12h28

Ben... une fois que l'utilisateur s'est authentifié sur le site, tu lui colles un cookie avec son login dedans.
A sa prochaine visite, avant de lui proposer de s'authentifier, tu vérifies s'il a pas un cookie avec une valeur correcte. Si oui, tu l'authentifie automatiquement.

Problème : c'est pas compliqué de forger un cookie comme ça.
Un exemple de remède simple : tu mets pas son login dans le cookie, tu mets un nombre aléatoire (grand). Dans ta base de données, tu as une table qui met en relation les nombres avec les logins.
Et tu oublies pas de changer le nombre souvent...

Sergejack · 16/07/2006, 12h33

Citation:

Envoyé par Eusebius

Un exemple de remède simple : tu mets pas son login dans le cookie, tu mets un nombre aléatoire (grand). Dans ta base de données, tu as une table qui met en relation les nombres avec les logins.
Et tu oublies pas de changer le nombre souvent...

Ma question est là, quel est le meilleur (vision subjective) "remède" ?

Eusebius · 16/07/2006, 12h36

Citation:

Envoyé par Sergejack

Ma question est là, quel est le meilleur (vision subjective) "remède" ?

Quels sont tes critères de qualité pour définir le terme "meilleur" ? Le niveau de sécurité ? Pas de cookie, et l'utilisateur s'authentifie à chaque fois...

Sergejack · 16/07/2006, 12h53

Difficulté d'intercepter le cookie (par exemple parce qu'il ne serait communqué au serveur que rarement) par un tiers.
Difficulté de générer un faux cookie ou de fausser un cookie existant.
Difficulté de tirer des informations du cookie.
J'oublie des chosex ?

16/07/2006, 12h14	#1
Sergejack Membre chevronné Inscription : juillet 2006 Messages : 1 194 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 194 Points : 751 Points : 751	[Cookies] Authentification par cookie Quelle est selon vous la manière la plus appropriée d'employer des cookies pour identifier un utilisateur ? (en combinaison avec des sessions peut-être mais qui permet en tout cas à l'utilisateur de ne plus devoir s'identifier manuellement)
	00

16/07/2006, 12h28	#2
Eusebius Expert Confirmé Inscription : avril 2003 Messages : 3 286 Détails du profil Informations forums : Inscription : avril 2003 Messages : 3 286 Points : 3 155 Points : 3 155	Ben... une fois que l'utilisateur s'est authentifié sur le site, tu lui colles un cookie avec son login dedans. A sa prochaine visite, avant de lui proposer de s'authentifier, tu vérifies s'il a pas un cookie avec une valeur correcte. Si oui, tu l'authentifie automatiquement. Problème : c'est pas compliqué de forger un cookie comme ça. Un exemple de remède simple : tu mets pas son login dans le cookie, tu mets un nombre aléatoire (grand). Dans ta base de données, tu as une table qui met en relation les nombres avec les logins. Et tu oublies pas de changer le nombre souvent... __________________ Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules!
	00

16/07/2006, 12h53	#5
Sergejack Membre chevronné Inscription : juillet 2006 Messages : 1 194 Détails du profil Informations forums : Inscription : juillet 2006 Messages : 1 194 Points : 751 Points : 751	Difficulté d'intercepter le cookie (par exemple parce qu'il ne serait communqué au serveur que rarement) par un tiers. Difficulté de générer un faux cookie ou de fausser un cookie existant. Difficulté de tirer des informations du cookie. J'oublie des chosex ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email