Bonsoir,
J'ai un petit problème de conception sur mon site et je suis venu demander votre avis. J'explique :
Je suis en train de coder un code possédant un espace membre. L'accès à certaine page est réservée aux membres. Si une personne non connectée va sur une de ces pages par mesure de sécurité je supprime les cookies liés au site et réinitialise la session PHP. Je fais cela car lors de la connexion je stocke l'identifiant et bien sûr à chaque chargement de page je fais des vérifications afin d'éviter qu'une personne se fasse passer pour une autre en ayant trafiqué l'identifiant stocké.
Le problème c'est que dans le formulaire de connexion je limite à 3 le nombre d'essais. Passé 3 essais ratés le formulaire ne s'affiche plus. Très efficace contre les tentatives de vols de comptes. Par sécurité j'ai également mis un captcha. Le problème est que j'utilise une variable dans la session PHP afin de stocker le nombre d'essais.
Il y a donc un gros problème car une fois les 3 essais réalisés, le formulaire ne s'affiche plus mais il suffit alors d'essayer de se rendre sur une page réservée aux membres et après la vérification de connexion, la session est réinitalisée et donc également la variable contenant le nombre d'essais. Il est donc facile d'effectuer un nombre infini de tentatives de connexion.
Pour résoudre le problème il me suffirait de ne plus réinitialiser la session. Pensez vous que cela poserait problème au niveau de la sécurité ?
Si je limite à 3 le nombre d'essais par compte, un petit malin pourrait s'amuser à bloquer le compte des autres.
Si je supprime la limitation des 3 essais, je diminue la sécurité du site.
Merci d'avance
Partager