Discussion :

[NeHuS]

Salut tout le monde,

J'aimerai lors du processus d'authentification du client que celui ci , si il le souhaite ,puisse cocher une case se souvenir de moi.

Jusque la rien de bien sorcier. D'autant plus que c'est exactement ce que fait ce forum.

Voila ma question est : que dois je sauvegarder dans le cookie ? J'ai regarder avec une extension ffx ce que crée ce forum lorsque je coche la case :

3 cookies : bbuserid , bbsessionhash et bbpassword.

Il est evidement impensable de stocker le mot de passe en clair de l'user. Pensez vous qu'il est safe de stocker le md5 ?

Dites moi ce que vous avez fait pour vos creations , et vos idées pour creer un cookie safe.


Merci

[Ent-Arktik]

De toutes façons, le "se souvenir de moi" n'est pas du tout sécurisé...
Même si tu garde un mot de passe hashé et surcrypté dans un cookie, pas besoin de décrypter le mot de passe pour se connecter, il suffit alors de voler le cookie : et là, il n'y a même pas de limitation de temps!
Alors après, si tu veux quelque chose de vraiment sécurisé, tu peux "contrefaire" un système de session : tu donne un ID aléatoire à ton utilisateur dans un cookie, puis tu stockes les données de l'utilisateur dans un fichier, en faisant en sorte que tu puisse retrouver ce fichier grace à l'ID aléatoire (via les BDD par exemple).
Et toutes les heures par exemple, tu renouvelles l'ID aléatoire.
Ainsi, aucun mot de passe, juste un ID qui n'est valable qu'une heure.

[Sub0]

Alors après, si tu veux quelque chose de vraiment sécurisé, tu peux "contrefaire" un système de session : tu donne un ID aléatoire à ton utilisateur dans un cookie, puis tu stockes les données de l'utilisateur dans un fichier, en faisant en sorte que tu puisse retrouver ce fichier grace à l'ID aléatoire (via les BDD par exemple).
Et toutes les heures par exemple, tu renouvelles l'ID aléatoire.
Ainsi, aucun mot de passe, juste un ID qui n'est valable qu'une heure.

J'ajoute également que tu peux détecter d'autres paramètres de l'utilisateur pour renforcer la sécurité (type de navigateur, système d'exploitation, host, etc...). Si toutes les conditions ne sont pas remplies, l'utilisateur devra s'identifier.

[NeHuS]

Arctique , si j'ai bien compris ton idée dans tous les cas , un pirate peut "voler " une session. Sauf qu'ici, le pirate aura juste volé un cookie avec un ID.

Donc cette solution empeche le fait d'avoir le mot de passe d'un user.

Merci a vous deux , je vais voir si je mets un tel systeme :s