Discussion :

[link66]

Bonjour,

J'ai développé une application en CGI, et je cherche à rendre la connexion plus "sécurisée".

Actuellement, je me log, et si le nom/mdp rentré correspond à celui enregistré, je crée un cookie "connected" qui vaut "ok" que je relis ensuite pour savoir si l'utilisateur est bien connecté.

En gros, il suffit de créer ce cookie et de l'initialiser à la bonne valeur pour se logger sans connaitre les login


Au début j'avais penser changer la valeur de mon cookie par une valeur plus ou moins aléatoire, comme par exemple le MD5 de la date du jour, mais dans ce cas la la connexion serait coupée à 0h00.

Des idées?

merci d'avance

[6-MarViN]

A priori tu pourrait initialiser ta variable un peu comme tu veux pas obliger de faire du rand. Après si c'est vraiment important pour toi la fonction random est ton ami.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cookie = random() + 1;

"Le + 1 sert à être sur que le nombre ne sera pas < 1 vu que 0 a l'air de t'embêter"

[link66]

A priori tu pourrait initialiser ta variable un peu comme tu veux pas obliger de faire du rand. Après si c'est vraiment important pour toi la fonction random est ton ami.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

cookie = random() + 1;

"Le + 1 sert à être sur que le nombre ne sera pas < 1 vu que 0 a l'air de t'embêter"

De cette manière la valeur sera aléatoire, mais comment la comparer après sans être obligé de créer un fichier contenant toutes les connections?

[Obsidian]

De cette manière la valeur sera aléatoire, mais comment la comparer après sans être obligé de créer un fichier contenant toutes les connections?

Le plus simple consiste à créer un cookie qui contienne soit l'ID de ton utilisateur, soit carrément un identifiant de session qui soit effectivement stocké sur ton serveur et qui expire à une date fixe, et d'y ajouter un MD5 ou un SHA de ces données, auxquelles on mélange une donnée fixe secrète (salt) qui reste sur le serveur et qui n'est jamais révélée.

En recevant le cookie, tu recalcules le hash de ces données comme tu l'as fait au départ, tu inclus la même valeur secrète et tu regardes si le résultat est le même que ce contient le cookie.

Pour encore plus de sécurité, tu peux faire varier cette valeur secrète selon une politique qui t'est propre, mais tu dois être capable de choisir la bonne en fonction des données du cookie.

[link66]

Finalement, je crée un cookie contenant une valeur aléatoire codée sur 32 bits, soit suffisamment de possibilités pour que j'ai pas à chercher à empêcher des doublons, le nombre de connections simultanées au serveur sera très faible (<10)

Cet ID est stocké dans un fichier, avec le nom de l'utilisateur, ses droits, paramètres persos et timestamp de la dernière connexion

A chaque ouverture de page, je regarde si la valeur donnée dans le cookie existe, et je rafraichi la valeur du timestamp, tout en supprimant celles expirées depuis plus d'une heure

Comparé à la méthode précédente (cookie qui vaut "ok" -> connexion acceptée), il faut passer par de la brute force, en espérant qu'une connexion soit déjà active

Si j'ai le temps je m'amuserai à convertir la valeur de la session en MD5 ou autre