Discussion :

[mariek]

Bonjour,
Il s'agit ici moins d'un problème que d'une réflexion, j'aimerais avoir votre avis sur un point d'utilisation d'ajax.

Lors d'une création de compte sur un site que je développe, je me suis dit, tiens, et si je testais la disponibilité du login / pseudo en ajax, ça évitera au visiteur d'avoir à valider 15 fois parce que ses pseudos favoris sont déjà pris. Surtout quand il faut retaper le mot de passe et sa confirmation à chaque coup

Mais si je fais ça, un visiteur mal-intentionné va pouvoir tester des pseudos, voir ceux qui sont utilisés, ce sera beaucoup plus facile de trouver le mot de passe que s'il n'a pas de pseudo. Enfin, je suppose. Qu'en pensez-vous ? Je suis ptet un peu trop parano...

[DoubleU]

Je suis ptet un peu trop parano...

Oui

Si ton appli est codée proprement, avoir le login ne facilite pas l'obtention du mot de passe correspondant, car récupérer le mot de passe reste un challenge en soit.
Par ailleurs, si tu ne fais pas ces tests en ajax, tu devras quand même les faire au moment de la validation du formulaire sur le serveur, et afficher la réponse à l'utilisateur. Si on suit ton idée, rien n'empechera un pirate de fouiller dans la réponse à la recherche de l'information qui informe l'utilisateur de la disponibilité du login.

[mariek]

Merci pour ta réponse.

Si ton appli est codée proprement, avoir le login ne facilite pas l'obtention du mot de passe correspondant, car récupérer le mot de passe reste un challenge en soit.

Certes, mais avoir le login facilite les choses à moitié, puisque c'est toujours ça en moins à deviner. En même temps, c'est plutôt facile de deviner le login admin ou administrateur...

Par ailleurs, si tu ne fais pas ces tests en ajax, tu devras quand même les faire au moment de la validation du formulaire sur le serveur, et afficher la réponse à l'utilisateur. Si on suit ton idée, rien n'empechera un pirate de fouiller dans la réponse à la recherche de l'information qui informe l'utilisateur de la disponibilité du login.

Oui, de toute façon l'info est affichée au visiteur à la validation du formulaire, mails comme il y a plusieurs champs dans ce form, je pars du principe que c'est pénible de tout rentrer à chaque fois.

Je suis parano, donc