Discussion :

[kvndevils]

Bonjour tout le monde,
voila je suis a la recherche d'idees pour securiser un cookie utilisé pour identifier l'utilisateur des son arrivée sur le site ..

il se connecte, je cree un cookie ou je stocke son ID ..

Existe t-il un moyen fiable d'ajouter une donnée au cookie qui me permetterait de controler que le cookie n'a pas ete piraté.. Je pensais a un codage en md5 de deux variables dont l'ID ..

J'aimerais eviter de stocker toute données dans ma BD .. pour ne pas la surcharger ..

mercii d'avance

[frol]

ca dépend si tu codes ton id en md5 tu sauras le comparer mais pas l'utiliser...

[kvndevils]

En fait je pensais plus a un systeme qui crypte l'identifiant à l'aide d'une clé que je suis seul a connaitre ..
exemple dans mon cookie je stocke :
- id
- id_crypte = md5 ( id + cle )

et ensuite je compare l'id que je crypte moi meme à l'id_crypte ..

Que pensez vous de ce systeme ? et quel clé prendre pour etre otpimale ?

mercii

[kvndevils]

C'est bon j'ai trouvé mon bonheur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
// envoi du cookie
$secret_word = 'gargamel';
$id = 123745323;
$hash = md5($secret_word.$id);
setcookie('id',$id.'-'.$hash);
 
// reception et verification du cookie
list($cookie_id,$cookie_hash) = explode('-',$_COOKIE['id']);
if (md5($secret_word.$cookie_id) == $cookie_hash) {
    $id = $cookie_id;
} else {
    die('Cookie erroné.');
}

[frol]

ah oki ouai ben au niveau de la sécurité je pense que c'est bon juste ne pas laisser trainer ta clé

[zaza576]

Salut

Je souhaiterais juste rajouter qu'un hash MD5 seul ne suffit pas à garantir une haute sécurité.
Si tu veux compliquer un peu plus le travail des hackers, rajoute une fonction de salage dans ton hash md5. Cela compliquera le cryptage.
Sans cette information complémentaire, le hacker aura plus de difficultés pour déchiffrer ton information.

Exemples :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php $idUser = md5('MonSel'.$idUser.'Cheri'); ?>

Ou encore avec la date du jour !

Voir la doc officielle PHP :
http://php.net/manual/fr/function.password-hash.php
http://php.net/manual/fr/function.crypt.php
http://php.net/manual/fr/faq.passwords.php

Dans la dernière url, il est recommandé de faire tourner la fonction de hachage plusieurs centaines / milliers de fois sur ton hash même afin de complexifier encore plus le chiffrement !