[Cookies] Se souvenir de moi [Résolu]

NeHuS · 11/08/2006, 11h59

Salut tout le monde,

J'aimerai lors du processus d'authentification du client que celui ci , si il le souhaite ,puisse cocher une case se souvenir de moi.

Jusque la rien de bien sorcier. D'autant plus que c'est exactement ce que fait ce forum.

Voila ma question est : que dois je sauvegarder dans le cookie ? J'ai regarder avec une extension ffx ce que crée ce forum lorsque je coche la case :

3 cookies : bbuserid , bbsessionhash et bbpassword.

Il est evidement impensable de stocker le mot de passe en clair de l'user. Pensez vous qu'il est safe de stocker le md5 ?

Dites moi ce que vous avez fait pour vos creations , et vos idées pour creer un cookie safe.

Merci

Ent-Arktik · 11/08/2006, 12h47

De toutes façons, le "se souvenir de moi" n'est pas du tout sécurisé...
Même si tu garde un mot de passe hashé et surcrypté dans un cookie, pas besoin de décrypter le mot de passe pour se connecter, il suffit alors de voler le cookie : et là, il n'y a même pas de limitation de temps!
Alors après, si tu veux quelque chose de vraiment sécurisé, tu peux "contrefaire" un système de session : tu donne un ID aléatoire à ton utilisateur dans un cookie, puis tu stockes les données de l'utilisateur dans un fichier, en faisant en sorte que tu puisse retrouver ce fichier grace à l'ID aléatoire (via les BDD par exemple).
Et toutes les heures par exemple, tu renouvelles l'ID aléatoire.
Ainsi, aucun mot de passe, juste un ID qui n'est valable qu'une heure.

Sub0 · 11/08/2006, 13h15

Citation:

Envoyé par Ent-Arktik

Alors après, si tu veux quelque chose de vraiment sécurisé, tu peux "contrefaire" un système de session : tu donne un ID aléatoire à ton utilisateur dans un cookie, puis tu stockes les données de l'utilisateur dans un fichier, en faisant en sorte que tu puisse retrouver ce fichier grace à l'ID aléatoire (via les BDD par exemple).
Et toutes les heures par exemple, tu renouvelles l'ID aléatoire.
Ainsi, aucun mot de passe, juste un ID qui n'est valable qu'une heure.

J'ajoute également que tu peux détecter d'autres paramètres de l'utilisateur pour renforcer la sécurité (type de navigateur, système d'exploitation, host, etc...). Si toutes les conditions ne sont pas remplies, l'utilisateur devra s'identifier.

NeHuS · 16/08/2006, 09h30

Arctique , si j'ai bien compris ton idée dans tous les cas , un pirate peut "voler " une session. Sauf qu'ici, le pirate aura juste volé un cookie avec un ID.

Donc cette solution empeche le fait d'avoir le mot de passe d'un user.

Merci a vous deux , je vais voir si je mets un tel systeme :s

11/08/2006, 11h59	#1
NeHuS Membre confirmé Inscription : décembre 2004 Messages : 343 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 343 Points : 267 Points : 267	[Cookies] Se souvenir de moi Salut tout le monde, J'aimerai lors du processus d'authentification du client que celui ci , si il le souhaite ,puisse cocher une case se souvenir de moi. Jusque la rien de bien sorcier. D'autant plus que c'est exactement ce que fait ce forum. Voila ma question est : que dois je sauvegarder dans le cookie ? J'ai regarder avec une extension ffx ce que crée ce forum lorsque je coche la case : 3 cookies : bbuserid , bbsessionhash et bbpassword. Il est evidement impensable de stocker le mot de passe en clair de l'user. Pensez vous qu'il est safe de stocker le md5 ? Dites moi ce que vous avez fait pour vos creations , et vos idées pour creer un cookie safe. Merci
	00

11/08/2006, 12h47	#2
Ent-Arktik Invité régulier Inscription : août 2006 Messages : 6 Détails du profil Informations forums : Inscription : août 2006 Messages : 6 Points : 6 Points : 6	De toutes façons, le "se souvenir de moi" n'est pas du tout sécurisé... Même si tu garde un mot de passe hashé et surcrypté dans un cookie, pas besoin de décrypter le mot de passe pour se connecter, il suffit alors de voler le cookie : et là, il n'y a même pas de limitation de temps! Alors après, si tu veux quelque chose de vraiment sécurisé, tu peux "contrefaire" un système de session : tu donne un ID aléatoire à ton utilisateur dans un cookie, puis tu stockes les données de l'utilisateur dans un fichier, en faisant en sorte que tu puisse retrouver ce fichier grace à l'ID aléatoire (via les BDD par exemple). Et toutes les heures par exemple, tu renouvelles l'ID aléatoire. Ainsi, aucun mot de passe, juste un ID qui n'est valable qu'une heure.
	00

16/08/2006, 09h30	#4
NeHuS Membre confirmé Inscription : décembre 2004 Messages : 343 Détails du profil Informations forums : Inscription : décembre 2004 Messages : 343 Points : 267 Points : 267	Arctique , si j'ai bien compris ton idée dans tous les cas , un pirate peut "voler " une session. Sauf qu'ici, le pirate aura juste volé un cookie avec un ID. Donc cette solution empeche le fait d'avoir le mot de passe d'un user. Merci a vous deux , je vais voir si je mets un tel systeme :s
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email