Identifier un poste client [Résolu]

RodesJoel · 17/01/2008, 22h13

Bonjour,
Je viens de creer un site sécurisé avec un acces par code et mot de passe (PHP-MySQL).
Le client ne doit se connecter que d'un seul poste. Les identifiants ne doivent pas marcher d'un autre poste !!
Je voudrais identifier ce poste en y écrivant un fichier avec un code que je vérifie a l'identification suivante.
J'ai pensé faire un activeX mais je serai limité à IE et ca ne marchera pas avec d'autres navigateurs.
Ecrire une trace dans un cookies? Il ne faut pas qu'ils soit désactivés.
Quel language puis-je utiliser ?
Que me conseillez-vous ?
Merci

Loïc M · 17/01/2008, 22h43

Si le poste a une ip fixe tu peux faire un test de l'ip mais je ne sais pas du tout si c'est une bonne solution.

_Mac_ · 18/01/2008, 10h49

Vérifier l'IP peut-être une première étape mais elle n'est effectivement pas fiable notamment si l'utilisateur passe par des proxies.

En fait, je me suis déjà posé cette question pour un projet que j'ai abandonné depuis : comment faire en sorte effectivement que des identifiants ne se baladent pas partout. Malheureusement, je n'ai pas trouvé la réponse. On peut effectivement passer par des cookies mais comme tu le dis, si l'utilisateur purge ses cookies, il est mal et toi aussi car comment t'assurer que c'est bien la bonne personne qui va recréer ses cookies ? J'avais pensé utiliser une applet Java (pour être multi-navigateur) pour calculer une signature de l'ordinateur (genre signature du CPU, etc.) et en associant de manière unique cette signature au compte. Mais 2 pbs : d'une part, je ne sais pas si c'est possible (comme j'ai vite abandonné mon projet, je n'ai pas creusé le sujet) et d'autre part, il faut que l'applet soit sur chaque page de manière à valider systématiquement le PC

Bref, c'est pas facile.

Loïc M · 18/01/2008, 11h55

Citation:

il faut que l'applet soit sur chaque page de manière à valider systématiquement le PC

Ne serait il pas possible de créer une session lorsque la vérification a été effectué une fois puis de simplement tester la session ensuite ? Si la session est valide on affiche, sinon on redirige vers l'applet ...

_Mac_ · 18/01/2008, 11h59

Oui, c'est toujours possible, mais on peut imaginer des cas tordus où on récupère l'identifiant de session pour forger des cookies sur une autre machine (je sais, je suis un peu parano parfois).

Loïc M · 18/01/2008, 12h13

En effet (aussi bien pour le problème du coockie que de la parano :p).

Après il faut aussi voir l'utilisation de l'application.

_Mac_ · 18/01/2008, 12h36

Ouais. En gros c'est trouver le truc qui n'est pas forgeable et c'est pas gagné. Dans tous les cas, si tu es un minimum parano, il faut mettre en place un système de clé privée-clé publique

Loïc M · 18/01/2008, 12h58

un minimum ?

17/01/2008, 22h13	#1
RodesJoel Invité de passage Inscription : janvier 2008 Messages : 1 Détails du profil Informations forums : Inscription : janvier 2008 Messages : 1 Points : 0 Points : 0	Identifier un poste client Bonjour, Je viens de creer un site sécurisé avec un acces par code et mot de passe (PHP-MySQL). Le client ne doit se connecter que d'un seul poste. Les identifiants ne doivent pas marcher d'un autre poste !! Je voudrais identifier ce poste en y écrivant un fichier avec un code que je vérifie a l'identification suivante. J'ai pensé faire un activeX mais je serai limité à IE et ca ne marchera pas avec d'autres navigateurs. Ecrire une trace dans un cookies? Il ne faut pas qu'ils soit désactivés. Quel language puis-je utiliser ? Que me conseillez-vous ? Merci
	00

18/01/2008, 10h49	#3
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 314 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 314 Points : 8 597 Points : 8 597	Vérifier l'IP peut-être une première étape mais elle n'est effectivement pas fiable notamment si l'utilisateur passe par des proxies. En fait, je me suis déjà posé cette question pour un projet que j'ai abandonné depuis : comment faire en sorte effectivement que des identifiants ne se baladent pas partout. Malheureusement, je n'ai pas trouvé la réponse. On peut effectivement passer par des cookies mais comme tu le dis, si l'utilisateur purge ses cookies, il est mal et toi aussi car comment t'assurer que c'est bien la bonne personne qui va recréer ses cookies ? J'avais pensé utiliser une applet Java (pour être multi-navigateur) pour calculer une signature de l'ordinateur (genre signature du CPU, etc.) et en associant de manière unique cette signature au compte. Mais 2 pbs : d'une part, je ne sais pas si c'est possible (comme j'ai vite abandonné mon projet, je n'ai pas creusé le sujet) et d'autre part, il faut que l'applet soit sur chaque page de manière à valider systématiquement le PC Bref, c'est pas facile. __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

18/01/2008, 11h59	#5
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 314 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 314 Points : 8 597 Points : 8 597	Oui, c'est toujours possible, mais on peut imaginer des cas tordus où on récupère l'identifiant de session pour forger des cookies sur une autre machine (je sais, je suis un peu parano parfois). __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

18/01/2008, 12h36	#7
_Mac_ Rédacteur/Modérateur Inscription : août 2005 Messages : 8 314 Détails du profil Informations forums : Inscription : août 2005 Messages : 8 314 Points : 8 597 Points : 8 597	Ouais. En gros c'est trouver le truc qui n'est pas forgeable et c'est pas gagné. Dans tous les cas, si tu es un minimum parano, il faut mettre en place un système de clé privée-clé publique __________________ Du détail, du détail, du détail !!! Revenons à la source : lisons la documentation et les fichiers de trace, la réponse à notre problème s'y trouve sans doute
	00

17/01/2008, 22h43	#2
Loïc M Membre éclairé Étudiant Inscription : mars 2007 Messages : 284 Détails du profil Informations personnelles : Âge : 24 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : mars 2007 Messages : 284 Points : 302 Points : 302	Si le poste a une ip fixe tu peux faire un test de l'ip mais je ne sais pas du tout si c'est une bonne solution.
	00

18/01/2008, 12h13	#6
Loïc M Membre éclairé Étudiant Inscription : mars 2007 Messages : 284 Détails du profil Informations personnelles : Âge : 24 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : mars 2007 Messages : 284 Points : 302 Points : 302	En effet (aussi bien pour le problème du coockie que de la parano :p). Après il faut aussi voir l'utilisation de l'application.
	00

18/01/2008, 12h58	#8
Loïc M Membre éclairé Étudiant Inscription : mars 2007 Messages : 284 Détails du profil Informations personnelles : Âge : 24 Localisation : France, Rhône (Rhône Alpes) Informations professionnelles : Activité : Étudiant Informations forums : Inscription : mars 2007 Messages : 284 Points : 302 Points : 302	un minimum ?
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email