Recherche:

au niveau des cookies, comme le dit mathix ce qui est dangereux, c'est que d'une façon ou d'une autre un pirate choppe un cookie et le mette sur son ordinateur

par contre, je pense que nous ne...

quand tu bloques un compte, il faut surtout bloquer l'IP qui a tenté de se connecter, et puis tu n'es pas obligé d'attendre une demi heure : tu peux doubler le temps d'attente à chaque connexion
...

pour les logs, je verrais plus bdd pour pouvoir faire des recherches complexes facilement, après, je ne suis pas expert

Peut-être pas tout de suite désactiver le compte, sinon j'imagine quelqu'un désactivant facilement tous les comptes des autres membres.[/quote]
exact. disons plutôt que l'ancien mot de passe reste...

je n'avais pas pensé à la perte de mot de passe, c'est vrai que ça semble plus délicat...

au pied levé, 2 solutions :

•à son enregistrement, l'utilisateur choisit une question dont il est le...

j'ai très rapidement parcouru tes liens, je ne suis pas sûr que tu aies compris l'utilité des signatures : si tu envoies (login, pswd) à un de tes visiteurs, la signature permettra de s'assurer que...

si tu peux crypter tes logins/mdp tu peux bien sûr les envoyer par mail, mais les crypter ça veut dire que ton client a (clé privée, clé publique), ou que tu lui en fournis.
si tu lui en fournis,...

channge aussi fréquemment de SID avec session_regenerate_id
quand au mot de passe il vaut mieux le donner à l'inscription, pas à l'activation : si j'intercepte un mail d'activation je peux avoir le...

je ne pense pas qe le spoofing soit si rare que ça.
il est hélas possible de trouver sur le web des tonnes de doc et de softs bien foutus, et je crains que ce soit accessible à n'importe qui de...

koo >> un dernier mot sur ma méthode : CS voyage comme un mot de passe. mais il ne voyage qu'une seule fois, c'est l'intérêt de + le serveur est protégé d'un piratage. Sinon, de mémoire, PEAR a bonne...

dsl d'enchaîner les posts, mais comme ils sont tous les 3 sur un sujet différent, je oréfère ne pas les regrouper.

voilà juste une question qui suit les posts précédents...

nous sommmes, je...

je n'avais pas lu la question de Sub0 :

quand je tape l'adresse de ton site dans mon navigateur, quel que soit le protocole, je fais appel aux DNS, qui associent ton nom de domaine à une IP
...

essayons de trouver une image :

• imagine que HTTPS soit une enveloppe, impossible à ouvrir :
si tu veux envoyer une information de façon sure à quelqu'un, tu vas écrire ta lettre et la mettre...

http://sub0.developpez.com/php/m@/authentification.htm

qu'en pensez vous ??

cordialement

si tu passes les variables par session, elles restent stockées sur le serveur.
par POST elles sont stockées chez le client, et elles doivent donc faire plusieurs fois le voyage client<->serveur

exact, j'vais pensé au NAT, mais pas aux proxies


encore une fois, les sessions restent le moyen le plus fiable de suivre un visiteur. Le vol de sessions peut être rendu très difficile par...

je pense quand même qu'il vaut mieux éviter de trop compliquer...
plus c'est simple moins il y a de risque d'avoir une faille.
un utilisateur qui donne le bon mot de passe est le bon utilisateur...

1.ton hébergeur ne devra pas payer l'utilisation du module SSL mais un certificat, c'est à dire que son serveur sera identifié de façon fiable comme étant celui de sa société et non celui d'un...

*les puristes de la métaphore vont me tomber dessus, mais en gros on peut assimiler https à un tunnel inviolable entre un ordinateur A et un ordinateur B. tout ce qui part de A arrive sans...

à chacun ses idées fixes... :twisted:

alors re :

1. ton code ne sera probablement pas aussi fiable
2. tu ne pourras pas décrypter les données, et les comparer n'est pas par exemple pas...

cool et pour décrypter le md5, une idée ?
remarque, c'est vrai que niveau interception, t'es plutôt protégé ! :wink:

sinon, pour l'auth HTTP, les infos transitent en clair, et sont à la portée...