[Sécurité] Identification automatique et securisée sur plusieurs sites

matique · 10/08/2006, 09h09

Bonjour,

Je suis en train de developper un site web décomposé en deux parties dont chacune est hébergée sur une BD et un serveur differents.
Je souhaiterais faire en sorte que lorsque mon utilisateur se logge sur une partie, il puisse également acceder a l'autre partie sans se relogger et ce de manière sécurisée bien sur.

J'ai pensé a deux solutions :
La première stocker une variable cryptée dans la bd qui serait renouvelée regulierement.
La seconde serait de passer par un cookie crypté mais est ce qu'un site different peut aller lire le cookie d'un autre site ?

Merci d'avance pour vos réponses !

Fladnag · 10/08/2006, 09h30

non, un site ne peux lire le cookie d'un autre... sinon ca serait catastrophique au niveau sécurité.

Le seul truc que tu peut faire c'est autoriser 2 sous domaines a partager un cookie posé sur le domaine, mais tout autre domaine y aura acces aussi :

ssdom1.dom.com depose un cookie sur dom.com
ssdom2.dom.com peut lire le cookie posé sur dom.com

mais

ssdom3.dom.com peut aussi lire ce cookie meme si ce sous domaine ne t'appartient pas

Joe Le Mort · 10/08/2006, 09h34

Citation:

Envoyé par matique

Je suis en train de developper un site web décomposé en deux parties dont chacune est hébergée sur une BD et un serveur differents.
Je souhaiterais faire en sorte que lorsque mon utilisateur se logge sur une partie, il puisse également acceder a l'autre partie sans se relogger et ce de manière sécurisée bien sur.

Pourquoi ne pas utiliser qu'une seule base ? ...

matique · 11/08/2006, 15h22

Bonjour,

J'utilise deux bases de données distinctes car l'autre partie de mon site est sous https donc entierement securisée.

Quant a l'idée des sous domaines, elle me parait pas mal. Ceci dit, je dois oublier car mes sites auront des noms de domaine differents.

10/08/2006, 09h09	#1
matique Invité régulier Inscription : février 2006 Messages : 62 Détails du profil Informations forums : Inscription : février 2006 Messages : 62 Points : 7 Points : 7	[Sécurité] Identification automatique et securisée sur plusieurs sites Bonjour, Je suis en train de developper un site web décomposé en deux parties dont chacune est hébergée sur une BD et un serveur differents. Je souhaiterais faire en sorte que lorsque mon utilisateur se logge sur une partie, il puisse également acceder a l'autre partie sans se relogger et ce de manière sécurisée bien sur. J'ai pensé a deux solutions : La première stocker une variable cryptée dans la bd qui serait renouvelée regulierement. La seconde serait de passer par un cookie crypté mais est ce qu'un site different peut aller lire le cookie d'un autre site ? Merci d'avance pour vos réponses !
	00

10/08/2006, 09h30	#2
Fladnag Membre Expert Inscription : janvier 2004 Messages : 1 238 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Secteur : Finance Informations forums : Inscription : janvier 2004 Messages : 1 238 Points : 1 421 Points : 1 421	non, un site ne peux lire le cookie d'un autre... sinon ca serait catastrophique au niveau sécurité. Le seul truc que tu peut faire c'est autoriser 2 sous domaines a partager un cookie posé sur le domaine, mais tout autre domaine y aura acces aussi : ssdom1.dom.com depose un cookie sur dom.com ssdom2.dom.com peut lire le cookie posé sur dom.com mais ssdom3.dom.com peut aussi lire ce cookie meme si ce sous domaine ne t'appartient pas __________________ PHP : Regle n°1 : mysql_query(...), mysql_connect(...) et mysq_select_db(...) doivent EN DEBUG etre suivies de or die(mysql_error()); (mais jamais en production) Regle n°2 : Mieux encore : mysql_query($requete) or die("$requete<br/>".mysql_error()); Regle n°3 : echo '<pre>';var_dump($var);echo '</pre>'; affiche le contenu et le type d'une variable. Publiez vos textes de fantasy et de science-fiction sur http://www.cercledefaeries.com/concours/
	00

11/08/2006, 15h22	#4
matique Invité régulier Inscription : février 2006 Messages : 62 Détails du profil Informations forums : Inscription : février 2006 Messages : 62 Points : 7 Points : 7	Bonjour, J'utilise deux bases de données distinctes car l'autre partie de mon site est sous https donc entierement securisée. Quant a l'idée des sous domaines, elle me parait pas mal. Ceci dit, je dois oublier car mes sites auront des noms de domaine differents.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email