[Cookies] Temps d'attente après 3 échecs de connexion

**canabral** · 05/03/2008, 14h31

Bonjour,

On peut lire dans plusieurs tutoriels qu'il peut être interéssant de mettre en place après x tentatives de connexion à un espace sécurisé un temps d'attente avant de pouvoir faire une nouvelle tentative.

Je me demande comment cela peut-il être mis en place. En effet comment savoir qu'un internaute a déjà réalisé x tentatives en moins de 5 minutes:
- soit en ouvrant une session et avec une variable compteur et une variable temps, mais si le navigateur est fermé la session est détruite
- soit avec l'enregistrement de ces 2 variables dans une BDD avec pour identifier l'internaute son adresse IP: mais je lis dans ces mêmes tutoriels qu'il ne faut pas fier à l'adresse IP...???

Avez-vous un avis, des suggestions??

Merci d'avance

**hansaplast** · 05/03/2008, 23h16

tu peut aussi essayer via un cookie, mias, il peut etre detruit.

au pire, tu peut te baser sur le login demandé, et le bloquer au bout de X tentatives...

**DaRiaN** · 06/03/2008, 00h28

Bonsoir,
utilisez une table de votre base de données et effectuez la vérification sur l'IP et le pseudo concerné. Si on a demandé infructueusement ce pseudo plus de 5 fois durant la dernière demi-heure, empêchez quelqu'un de s'identifier avec pendant toute cette demi-heure. Et si une adresse IP a tenté, à plus de 5 reprises, de s'identifier durant la dernière demi-heure, pareil.

C'est toujours un très bon complément pour la vérification via la session.

Cordialement,
DaRiaN.

**canabral** · 06/03/2008, 09h14

Merci pour l'idée (toute bête que je n'avais pas eu...) du double contrôle IP/login, actuellement je procédé seulement par IP alors qu'en fonction des paramètrages l'IP d'un internaute peut être renouvelé à chaque chargement de page...

Envoyé par DaRiaN

C'est toujours un très bon complément pour la vérification via la session.

je ne comprends pas trop ce que tu veux dire par cette phrase... "vérification via la session" ??? A cette étape de contrôle, vérification du nombre de tentatives dans un laps de temps, il n'y a pas encore de session d'ouverte???

Merci

**DaRiaN** · 06/03/2008, 12h23

Déjà sécurisé vos formulaires contre les robots (captcha) ou installez un module apache contre le brut force. Après, franchement, limitez l'identification infructueuse pour un même pseudo durant une demi-heure avec un système de ban IP après X tentatives est largement suffisant.