IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Android Discussion :

[Sécurité] Demande de mot de passe


Sujet :

Android

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé Avatar de Willy55
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2012
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2012
    Messages : 188
    Par défaut [Sécurité] Demande de mot de passe
    Bonjour bonjour, mon grand retour ici pour une question qui me turlupine,

    J'ai conscience que ce n'est pas du tout spécifique a "android" mais je n'ai pas trouvé de catégorie "sécurité" et actuellement c'est sur une app android que j'ai cette question.

    Alors voila, quand a partir de votre application vous voulez proposer à un utilisateur de se connecter à un service tierce qui propose ce genre d'api : (comme pour faire une application non officielle par exemple ou autre)

    Login

    Summary: Authorizes the user and gives token for the following methods.

    Method: POST

    Path: /1.0/auth/login

    Content-Type: application/json

    Body: email, password, totp (2-step authorization token, required if 2-step authorization is enabled)

    Example body:

    {
    "email": "your_email@gmail.com",
    "password": "your_password",
    "totp": 123456
    }
    Comment peux-t-on assurer qu'on utilisera pas ses identifiants ? Ce serait pourtant très facile étant donné qu'on va créer nous-même le formulaire pour qu'il rentre ces infos... Aucune certitudes pour l'utilisateur qu'on ne récupère pas son mot de passe ? Tout est sur la confiance ?

    Pour le service, il s'agit de Minergate : https://github.com/MinerGate/minergate-api

    Merci d'avance !

  2. #2
    Modérateur
    Avatar de Hizin
    Homme Profil pro
    Développeur mobile
    Inscrit en
    Février 2010
    Messages
    2 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur mobile

    Informations forums :
    Inscription : Février 2010
    Messages : 2 180
    Par défaut
    À chaque identification tu dois faire confiance au site ou à l'application.
    Par contre, si tu parles d'OAuth (donc d'authentification via un compte tiers), ce problème est justement adressé en ne gérant pas toi-même le formulaire, mais que le service tiers le mette à disposition.

    La, typiquement, avec ton exemple, c'est le compte de ton application qui est utilisé pour requêter l'API, pas le compte utilisateur, sauf si tu veux gérer toi-même la base utilisateur de ton application.
    C'est Android, PAS Androïd, ou Androïde didiou !
    Le premier est un OS, le second est la mauvaise orthographe du troisième, un mot français désignant un robot à forme humaine.

    Membre du comité contre la phrase "ça marche PAS" en titre et/ou explication de problème.

    N'oubliez pas de consulter les FAQ Android et les cours et tutoriels Android

  3. #3
    Membre confirmé Avatar de Willy55
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2012
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2012
    Messages : 188
    Par défaut
    Non je ne parlais pas d'Oauth mais bien de permettre a mes utilisateurs de se connecter a un service tierce donc de me donner leurs identifiants :/ ça repose bien sur la confiance avec un simple POST comme ça sans aucunes protection.

  4. #4
    Modérateur
    Avatar de Hizin
    Homme Profil pro
    Développeur mobile
    Inscrit en
    Février 2010
    Messages
    2 180
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 36
    Localisation : France

    Informations professionnelles :
    Activité : Développeur mobile

    Informations forums :
    Inscription : Février 2010
    Messages : 2 180
    Par défaut
    De mon point de vue : pas dans ton exemple.
    Ici, l'utilisateur (et donc le couple identifiant + mot de passe) est ton application, pas la personne physique utilisant ton application. C'est toi en tant que développeur qui va consommer l'API, pas l'utilisateur final.
    C'est Android, PAS Androïd, ou Androïde didiou !
    Le premier est un OS, le second est la mauvaise orthographe du troisième, un mot français désignant un robot à forme humaine.

    Membre du comité contre la phrase "ça marche PAS" en titre et/ou explication de problème.

    N'oubliez pas de consulter les FAQ Android et les cours et tutoriels Android

  5. #5
    Modérateur
    Avatar de grunk
    Homme Profil pro
    Lead dév - Architecte
    Inscrit en
    Août 2003
    Messages
    6 693
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : Lead dév - Architecte
    Secteur : Industrie

    Informations forums :
    Inscription : Août 2003
    Messages : 6 693
    Par défaut
    Citation Envoyé par Hizin Voir le message
    De mon point de vue : pas dans ton exemple.
    Ici, l'utilisateur (et donc le couple identifiant + mot de passe) est ton application, pas la personne physique utilisant ton application. C'est toi en tant que développeur qui va consommer l'API, pas l'utilisateur final.
    Sauf si son application est un client pour l'API où chacun peut rentrer ses identifiants API pour s'en servir. Dans ce cas rien ne l'empèche de mettre un logger dans son appli qui lui renvoi les identifiants de chaque personne utilisant son appli.

    Pour ce genre de cas , en tant qu'utilisateur, si c'est un compte un tant soit peu sensible :
    - Si oauth : pas de problème
    - Si pas de oauth mais appli open source => je vais jeter un oeil avant de m'en servir
    - Sinon je ne fait pas confiance.
    Pry Framework php5 | N'oubliez pas de consulter les FAQ Java et les cours et tutoriels Java

  6. #6
    Membre confirmé Avatar de Willy55
    Homme Profil pro
    Étudiant
    Inscrit en
    Janvier 2012
    Messages
    188
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Étudiant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2012
    Messages : 188
    Par défaut
    Ouais voila c'est la ou je voulais en venir

Discussions similaires

  1. [Sécurité] Crypter un mot de passe
    Par julien.63 dans le forum Langage
    Réponses: 8
    Dernier message: 25/04/2006, 17h24
  2. [Sécurité] Cryptage des mots de passe
    Par franfr57 dans le forum Langage
    Réponses: 9
    Dernier message: 25/04/2006, 14h04
  3. [Sécurité] Renvoyer un mot de passe crypté
    Par psychoBob dans le forum Langage
    Réponses: 6
    Dernier message: 23/04/2006, 00h43
  4. Mise en réseau OK mais demande de mot de passe ???
    Par fute dans le forum Sécurité
    Réponses: 13
    Dernier message: 27/07/2005, 17h34
  5. Réponses: 3
    Dernier message: 26/01/2005, 07h08

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo