Discussion :

[kvndevils]

Bonjour tout le monde,
voila je suis a la recherche d'idees pour securiser un cookie utilisé pour identifier l'utilisateur des son arrivée sur le site ..

il se connecte, je cree un cookie ou je stocke son ID ..

Existe t-il un moyen fiable d'ajouter une donnée au cookie qui me permetterait de controler que le cookie n'a pas ete piraté.. Je pensais a un codage en md5 de deux variables dont l'ID ..

J'aimerais eviter de stocker toute données dans ma BD .. pour ne pas la surcharger ..

mercii d'avance

[frol]

ca dépend si tu codes ton id en md5 tu sauras le comparer mais pas l'utiliser...

[kvndevils]

En fait je pensais plus a un systeme qui crypte l'identifiant à l'aide d'une clé que je suis seul a connaitre ..
exemple dans mon cookie je stocke :
- id
- id_crypte = md5 ( id + cle )

et ensuite je compare l'id que je crypte moi meme à l'id_crypte ..

Que pensez vous de ce systeme ? et quel clé prendre pour etre otpimale ?

mercii

[kvndevils]

C'est bon j'ai trouvé mon bonheur :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
// envoi du cookie
$secret_word = 'gargamel';
$id = 123745323;
$hash = md5($secret_word.$id);
setcookie('id',$id.'-'.$hash);
 
// reception et verification du cookie
list($cookie_id,$cookie_hash) = explode('-',$_COOKIE['id']);
if (md5($secret_word.$cookie_id) == $cookie_hash) {
    $id = $cookie_id;
} else {
    die('Cookie erroné.');
}

[frol]

ah oki ouai ben au niveau de la sécurité je pense que c'est bon juste ne pas laisser trainer ta clé

[zaza576]

Salut

Je souhaiterais juste rajouter qu'un hash MD5 seul ne suffit pas à garantir une haute sécurité.
Si tu veux compliquer un peu plus le travail des hackers, rajoute une fonction de salage dans ton hash md5. Cela compliquera le cryptage.
Sans cette information complémentaire, le hacker aura plus de difficultés pour déchiffrer ton information.

Exemples :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php $idUser = md5('MonSel'.$idUser.'Cheri'); ?>

Ou encore avec la date du jour !

Voir la doc officielle PHP :
http://php.net/manual/fr/function.password-hash.php
http://php.net/manual/fr/function.crypt.php
http://php.net/manual/fr/faq.passwords.php

Dans la dernière url, il est recommandé de faire tourner la fonction de hachage plusieurs centaines / milliers de fois sur ton hash même afin de complexifier encore plus le chiffrement !

[Tsilefy]

Salut

Salut, et félicitations pour avoir déterré un thread d'il y a 10 ans!! Ça doit être une sorte de record!

Je souhaiterais juste rajouter qu'un hash MD5 seul ne suffit pas à garantir une haute sécurité.
Si tu veux compliquer un peu plus le travail des hackers, rajoute une fonction de salage dans ton hash md5.

Exact, mais si tu lis bien son code, tu verras qu'il ajoute déjà un (mauvais) sel à son hash.

Ou encore avec la date du jour !

Surtout pas, très mauvais conseil (qui m'a décidé à répondre à ce fil, afin que les débutants qui tomberaient sur ceci ne croient pas que c'est la bonne manière de faire).

Un salt doit être aléatoire, il n'y a rien de moins aléatoire que la date du jour (ou le timestamp). Heureusement, on n'est plus en 2006 et PHP a bien avancé depuis. Pour créer un sel, on utilise maintenant la fonction random_bytes. Et quoi qu'il en soit, l'utilisation de hash n'est pas la solution dans ce cas.

Voir la doc officielle PHP :
http://php.net/manual/fr/function.password-hash.php
http://php.net/manual/fr/function.crypt.php
http://php.net/manual/fr/faq.passwords.php

Dans la dernière url, il est recommandé de faire tourner la fonction de hachage plusieurs centaines / milliers de fois sur ton hash même afin de complexifier encore plus le chiffrement !

D'abord, avec password_hash, tu n'as plus à "tourner la fonction de hachage plusieurs centaines / milliers de fois". La fonction password_hash() suffit.

Ensuite, tous tes liens traitent de mot de passe, alors que la question de ce thread porte sur les cookies. Rien à voir. Un mot de passe doit être stocké de manière irréversible, le cookie doit être stocké de manière réversible (contrairement à ce que l'OP croit).

Pour cela, la donnée (cookie ou autre) à traiter doit être chiffrée, puis signée avec un MAC. Et à l'inverse, on doit d'abord authentifier le cookie, puis le déchiffrer.

La cryptographie étant un domaine très compliqué où il est très facile de faire des erreurs indétectables, je conseille de ne pas écrire son propre crypto et d'utiliser des bibliothèques reconnues, à moins que ce ne soit pour "apprendre" (mais à ne surtout pas utiliser sur un vrai site, et apprendre ce domaine prends des années).

La meilleure bibliothèque pour l'encryption sous PHP est l'extension Libsodium, et il y a en ce moment un mouvement pour l'intégrer dans l'une des futures versions de PHP 7. Si on ne peut pas installer une extension, il existe une alternative: PHP Encryption. PHP Encryption rend le chiffrement à la portée des nuls et permet de faire des opérations sécurisées sans faire d'erreurs.

Il suffit de recopier cet exemple, et ensuite d'utiliser ces valeurs avec un cookie.