sécuriser des liens dans des mails

agrotic · 28/05/2007, 13h21

Bonjour,

je suis en charge du développement d'un site internet payant qui envoie une lettre d'info quotidienne.
les liens présents dans la lettre contiennent de façon cachée les identifiants et mots de passe des abonnés (car ils ne veulent pas devoir saisir ces infos). du coup, lorsqu'on transfert le mail reçu à un ami, il accède au site payant alors qu'il n'a pas payé !
pour corriger cela, j'ai mis en place un système basé sur les cookies : si pas de cookie, on demande l'identifiant/mot de passe et on crée le cookie si tout va bien ; si cookie présent et correspondant au compte présent dans le lien, on ouvre l'accès.

sauf que là, gros pb ! les cookies disparaissent chez certains clients (alors que les options internet sont bonnes et que la date de péremption du cookie n'est pas encore passée). du coup, il faut saisir le mot de passe à chaque fois !!!

si quelqu'un avait une idée de génie, ça serait super !

merci.

Immobilis · 28/05/2007, 21h06

Salut,

Tu peux faire un lien de connection valable une seule fois.

A+

kaiser59 · 29/05/2007, 09h52

Salut,

Tu peux utiliser la variable Session si elle est vide tu renvoie sur une autre page. De plus,tu peux ajouter un code anti-leech si tu veux sécuriser tes pages le plus possible

++

agrotic · 29/05/2007, 10h01

bonjour immobilis,

merci pour ton idée, mais cela ne me semble pas envisageable car j'ai pas mal d'utilisateurs qui cliquent plusieurs fois sur le même lien au cours de la même journée.

je pense à un truc, dérivé de ton idée : autoriser la reconnaissance si même IP que lors de la dernière consultation de la journée, demander le mot de passe sinon.

qu'en penses-tu ?

Immobilis · 29/05/2007, 10h15

Bah,

La plupart du temps les internautes utilisent la même machine pour surfer.
Perso, j'utiliserai lien valable une fois + un cookie, comme pour ce forum qui offre la possibilité d'être reconnu.

A+

agrotic · 29/05/2007, 10h28

en fait, je souhaiterai ne plus utiliser les cookies car cela n'a pas du tout bien marché la 1ère fois... (pas mal de mes utilisateurs utilisent Lotus Notes 5 comme client de messagerie et navigateur, je ne sais pas si ça joue).

le coup de l'IP devrait permettre de savoir justement si c'est ou non la même machine qui se connecte via le lien présent dans le mail (pb avec les entreprises qui n'ont qu'1 seule IP publique pour toutes leurs machines ?)

Immobilis · 29/05/2007, 13h22

Citation:

Envoyé par agrotic

pas mal de mes utilisateurs utilisent Lotus Notes 5 comme client de messagerie et navigateur

Peut-être bien. Z'ont cas utiliser un vrai navigateur.
Et oui, tu risques de ne pas pouvoir toujours récupérer l'adresse IP.

A+

agrotic · 29/05/2007, 14h53

oaf, tu sais, immobilis, j'ai bien un collègue qui utilise Outlook pour surfer... alors plus rien ne m'étonne

28/05/2007, 13h21	#1
agrotic Membre actif Inscription : avril 2004 Messages : 202 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : avril 2004 Messages : 202 Points : 192 Points : 192	sécuriser des liens dans des mails Bonjour, je suis en charge du développement d'un site internet payant qui envoie une lettre d'info quotidienne. les liens présents dans la lettre contiennent de façon cachée les identifiants et mots de passe des abonnés (car ils ne veulent pas devoir saisir ces infos). du coup, lorsqu'on transfert le mail reçu à un ami, il accède au site payant alors qu'il n'a pas payé ! pour corriger cela, j'ai mis en place un système basé sur les cookies : si pas de cookie, on demande l'identifiant/mot de passe et on crée le cookie si tout va bien ; si cookie présent et correspondant au compte présent dans le lien, on ouvre l'accès. sauf que là, gros pb ! les cookies disparaissent chez certains clients (alors que les options internet sont bonnes et que la date de péremption du cookie n'est pas encore passée). du coup, il faut saisir le mot de passe à chaque fois !!! si quelqu'un avait une idée de génie, ça serait super ! merci. __________________ Nico, l'agrotic géomatic
	00

28/05/2007, 21h06	#2
Immobilis Expert Confirmé Sénior Inscription : mars 2004 Messages : 5 849 Détails du profil Informations forums : Inscription : mars 2004 Messages : 5 849 Points : 5 965 Points : 5 965	Salut, Tu peux faire un lien de connection valable une seule fois. A+ __________________ Twitter widget Minichat multicast UDP sous Mango Linq to SQL vs SQL vs Entity Framework C# Google Distance Matrix Import/export de données en ASP.Net, L'architecture multicouche, Internationalisation en ASP.Net
	00

29/05/2007, 10h01	#4
agrotic Membre actif Inscription : avril 2004 Messages : 202 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : avril 2004 Messages : 202 Points : 192 Points : 192	bonjour immobilis, merci pour ton idée, mais cela ne me semble pas envisageable car j'ai pas mal d'utilisateurs qui cliquent plusieurs fois sur le même lien au cours de la même journée. je pense à un truc, dérivé de ton idée : autoriser la reconnaissance si même IP que lors de la dernière consultation de la journée, demander le mot de passe sinon. qu'en penses-tu ? __________________ Nico, l'agrotic géomatic
	00

29/05/2007, 10h15	#5
Immobilis Expert Confirmé Sénior Inscription : mars 2004 Messages : 5 849 Détails du profil Informations forums : Inscription : mars 2004 Messages : 5 849 Points : 5 965 Points : 5 965	Bah, La plupart du temps les internautes utilisent la même machine pour surfer. Perso, j'utiliserai lien valable une fois + un cookie, comme pour ce forum qui offre la possibilité d'être reconnu. A+ __________________ Twitter widget Minichat multicast UDP sous Mango Linq to SQL vs SQL vs Entity Framework C# Google Distance Matrix Import/export de données en ASP.Net, L'architecture multicouche, Internationalisation en ASP.Net
	00

29/05/2007, 10h28	#6
agrotic Membre actif Inscription : avril 2004 Messages : 202 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : avril 2004 Messages : 202 Points : 192 Points : 192	en fait, je souhaiterai ne plus utiliser les cookies car cela n'a pas du tout bien marché la 1ère fois... (pas mal de mes utilisateurs utilisent Lotus Notes 5 comme client de messagerie et navigateur, je ne sais pas si ça joue). le coup de l'IP devrait permettre de savoir justement si c'est ou non la même machine qui se connecte via le lien présent dans le mail (pb avec les entreprises qui n'ont qu'1 seule IP publique pour toutes leurs machines ?) __________________ Nico, l'agrotic géomatic
	00

29/05/2007, 09h52	#3
kaiser59 Modérateur Inscription : novembre 2005 Messages : 1 246 Détails du profil Informations personnelles : Âge : 32 Informations forums : Inscription : novembre 2005 Messages : 1 246 Points : 1 203 Points : 1 203	Salut, Tu peux utiliser la variable Session si elle est vide tu renvoie sur une autre page. De plus,tu peux ajouter un code anti-leech si tu veux sécuriser tes pages le plus possible ++
	00

29/05/2007, 14h53	#8
agrotic Membre actif Inscription : avril 2004 Messages : 202 Détails du profil Informations personnelles : Âge : 36 Informations forums : Inscription : avril 2004 Messages : 202 Points : 192 Points : 192	oaf, tu sais, immobilis, j'ai bien un collègue qui utilise Outlook pour surfer... alors plus rien ne m'étonne __________________ Nico, l'agrotic géomatic
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email