Discussion :

[BByani]

Bonjour à tous.

En ce qui concerne les sessions, quel est le moyen le plus "sure" pour authentifié un client via un formulaire html.
Faut-il absolument passé par le SSL ? ou existe t'il des méthode qui permettent d'éviter le hijacking par exemple ?

Passé par un fichier swf pour loger un utilisateur est une bonne ou mauvaise chose ? je m'explique:

Je créer un fichier as3 (swf) avec 2 champs (login / password ) et un bouton submit. L'utilisateur entre sont login et password et appuie sur le bouton connexion. La une fonction (en as3) crypte les données (en fonction de l'unix time stamp par exemple ou microtime => donc la le but est de crypter coter client en corrélation avec un clé envoyé par le serveur) et envoyé les données par une méthode POST et remplir (si les logs sont corrects -> bdd) les $_session.

Si je n'ai pas été clair je mettrai une illustration.

[alain31tl]

Bonjour,

Déjà l'utilisation de formulaires swf a un avantage par rapport à ceux classiques.
C'est que les nom des champs à renseigner restent inconnus, à l'inverse d'un formulaire html par exemple.
Celà ne veut pas dire qu'il ne faut pas prendre de précautions :
(xwr_login , VzU_password)
C'est déjà ça de pris.

Perso, je migre tous mes formulaires (identification, contact, etc...) vers des applic swf.
Mais j'utilise 2 méthodes différentes.

Pour certains, j'utiliserai le composant HTTPService, classique.
Par conséquent en lien avec un fichier PHP évidemment.
Pas rencontré d'incident, mais je ne peux pas garantir la vulnérabilité ou non de cette solution.

La suivante, mon formulaire swf (mxml) renvoie les variables vers son script AS3 chargé au bout du compte de la méthod POST, certainement comme tu procédes.
Pour ce faire, j'avoue m'être inspiré de certaines API de paypal.
Jusqu'à preuve du contraire, ils ne semblent pas avoir été "taquiné" par des voleurs de sessions.
Ou alors ça se saurait, ceci dit, ils utilisent aussi https.

Mais ta façon de procéder, c'est à dire de crypter les données me semble interressante, en tout cas plus compléte que les miennes.
Le hic, c'est que j'ignore à quel stade de la procédure un hijacker peut initier une interception.
Pendant la phase client/ serveur, ou serveur/client.(??)
Ce serait interressant de le savoir...