Discussion :

[zibizibi2]

Salut a tous,

Pour securiser la partie administration de mon site, j'ai pensé a la solution suivante :

Le couple login/pass de mes users correspond a un password aleatoire de 100 caracteres generé a l'inscription. J'ai donc une table user contenant un champ login, un champ pass, et un champ pour ce super long password aleatoire. Quand un user tente d'acceder a la page admin, son password (stocké dans un cookie ou une session) est comparé a la BDD.

Est-ce que cela vous semble suffisant niveau securité ? Devrais-je ajouter cette verif pour toutes les sous-pages admin ? Un htaccess devrait-il etre rajouté par dessus ? Si oui est-ce que ca obligera les administrateurs a subir un popup windows de saisie de login/pass ?

[edenreal]

pour ma part j'ai opté pour la solution suivante.

-un id unique retourner par le serveur pour une connection valide connection.
-Id de la session + id unique +différente information enregistré dans la bdd
-une page d'index jamais rechargé pendant la visite du site grace a AJAX
-sur cette page index une vérification du couple idsession/idunique

Avantage.
La partie concerné ne peut être ouverte que sur un seul onglet.
La session ne peux pas être ouverte deux fois en simultanée
Grace à la bdd on peut mettre tout un tas de vérification comme l'ip ou les heures de connection.
De plus la session est supprimé des fermeture de la fenêtre

Inconvénien
la touche F5 actualise la page d'index et donc ferme la session

C'est loin d'être parfait, d'ailleur si quelqu'un a des critiques qu'il n'hésite pas ^^



Edit personellement ca me dérange de laisser une page sans vérif (même si j'ai tendance à oublié ^^)