Bonjour,
Ma question est simple, mais je n'ai hélas pas trouvé de réponse. J'ai un site de ecommerce que j'ai créé, et que je voudrais l'améliorer, en termes de sécurité. Pour le moment, l'identification des membres et de l'admin se passe ainsi :
- Lorsque l'utilisateur clique sur "s'identifier", il saisit son pseudo et son mot de passe.
- Le système vérifie les informations saisies et le résultat est stocké dans une variable de session ($_SESSION['is_logged']=true ou false).
- Dès que le client va sur une page "sécurisée", si $_SESSION['connecte']==true, il voit la page, sinon il a un petit message disant qu'il n'a rien à faire là.
Pour les membres, ce système me va plutot bien : il est très simple à mettre en place, et même si la sécurité n'est pas à toute épreuve, cela suffit. Même si quelqu'un arrivait à dérober un compte utilisateur, il ne pourrait pas faire grand chose avec (tout au plus avoir l'adresse email et postale du membre, ce qui n'est pas des plus intéressant pour un pirate informatique).
Par contre pour identfication de l'admin, si un pirate avait accès à ce compte, il pourrait faire des ravages (par exemple supprimer tous les articles du site, effacer les commandes etc). C'est pour cela que je me permets de vous demander votre avis.
Ma méthode d'identification est-elle raisonnablement sécurisée? Est-ce qu'il serait possible pour un pirate de modifier la valeur de mes variables de session (sachant que ce n'est qu'un booléen) de l'extérieur? Faudrait-il plutot que j'enregistre le pseudo et le pass du membre une fois crypté, pour revérifier l'identification à chaque ouverture de page? Mais dans ce cas, un pirate ne pourrait-il pas accéder à ces valeurs, et obtenir ainsi ces informations (j'ai vu que le cryptage md5 était maintenant décryptable facilement)?
Bref, que me conseilleriez-vous pour avoir un système d'identification fiable, et si possible relativement simple à mettre en place?
Merci d'avance
Partager