Bonjour,
Une question théorique à propos de la meilleur façon de protéger l'identification à un espace membre.
L'idée est classique, après 5 tentatives ratées, on bloque la possibilité de s'identifier.
J'ai fait cela personnellement:
- A chaque erreur j'envoie l'ip dans la table ipBloque.
- A chaque tentative je compte le nombre d'ip enregistrée dans la table ipBloque durant les 15 dernières minutes et similaires à celles du client.
- Si j'en trouve 5, le formulaire ne s'affiche plus.
- Au bout de 15 minutes, le formulaire s'affiche de nouveau.
Est-ce un bon système ? On m'a conseillé de le faire avec des sessions ? Qu'en pensez-vous ?
J'ai testé sur développez, à priori c'est basé sur l'IP et pas sur les sessions ni les cookies (je n'ai pas approfondi).
Aussi dans mon système, lorsque l'identification a échoué, et si il y a eu moins de 5 tentatives, la page suivante notifie l'erreur mais réaffiche automatiquement le formulaire au lieu d'afficher l'erreur sur une page spécifique nécessitant ensuite un retour pour réafficher le formulaire d'identification. C'est pratique pour le visiteur mais aussi pour un éventuel robot.
Qu'en pensez-vous ?
Voilà, j'attend vos remarques et suggestions![]()
Partager