Il y aurait des points communs, mais je pense que la solution formulaire + base de données est plus souple.
- Tu peux styler le formulaire comme tu veux ;
- c'est le serveur qui contrôle la session ;
- tu peux utiliser des données supplémentaires pour l'authentification, par exemple un token de sécurité.
Ce qui ne change pas en revanche, c'est que les données transitent toujours en clair. Dans une requête de formulaire, POST ou GET, il n'y a même pas de codage uuencode donc elles sont encore plus faciles à lire (*). Pour éviter ça, tu as deux solutions :
- te payer un certificat pour servir tes pages en https ;
- utiliser un certificat gratuit
Il existe des CA (
Certificate Authority) gratuits mais ils sont marginalisés : les navigateurs n'incluent pas leurs certificats dans leur liste de confiance. Les visiteurs reçoivent alors une alerte de sécurité, hautement décourageante, alors que le certificat est parfaitement fonctionnel. Le site
CAcert est, à juste titre, un bon exemple.
- utiliser une bibliothèque de chiffrement côté client.
Pour être honnête je ne sais pas si ça existe, ni même si c'est raisonnable, car il s'agit en gros de reproduire le mécanisme https « à la main »...
(*) C'est aussi valable pour le cookie qui contient l'identifiant de session (SESSID), qui est envoyé à chaque requête.
Partager