Discussion :

[diffy]

Bonjour,

je viens juste de me mettre au php et je me demandais si il est courant que se produise des "vols de variables post". ce que je veut dire, c'est si je transmet une donée entre un formulaire et une autre page php par la méthode post, est il possible de récupérer ces donées ?

Dans mon cas j'ai un formulaire login / mot de passe,
qui post ces donées a une page php de vérification.

Mon mot de passe circule en clair entre ces deux pages et j'aimerais savoir si cela pose un problème ?

Merci d'avance
Diffy

[N1bus]

Bonjour,

Mon mot de passe circule en clair entre ces deux pages et j'aimerais savoir si cela pose un problème ?

ça peut !

pour sécuriser l'accès à la partie privée de ton site, tu peux utiliser HTTPS (Il te faut alors un certificat et peut être une IP supplémentaire)
Dans ce cas les données transmises sont chiffrées

[Fladnag]

Tu as aussi des methodes sans HTTPS assez élégantes.

Il me semble que le portail SPIP utilise une methode comme celle ci :

* Demande du login de la personne
* Generation d'une clé temporaire a partir du login et d'un champ stocké dans la table USER
* Formulaire de demande de mot de passe avec en champ caché la clé temporaire.
* Avant l'envoi, le pass est CRYPTE avec la clé temporaire en javascript ! Le cryptage utilisé est du MD5 ou du SHA je sais plus.
=> Le mot de passe qui circule sur le réseau n'est pas en clair, il n'est pas retrouvable par l'algo inverse (algo non bijectif) ET si on réinterroge la page avec le meme mot de passe "crypté", on ne pourra pas s'authentifier !
* Le site compare le mot de passe crypté avec celui qu'il attend (il connait la clé temporaire et le passe)
* Le site change le champ stocké de la table USER permettant la génération d'une clé temporaire (pour la prochaine tentative de login)

[elcoyotos]

Je vais peut être me prendre une volée de bois mais honnêtement, si tu n'as pas plus de 50 000 visteurs/jour et pas de transaction financière, je ne voie pas qui serai intéressé pour détourner des variables qui donnent accès à un espace privé sur un site perso ?

Sinon, sur certaine de mes pages, je vérifie le referer (je ne sais pas si c'est suffisant ni même efficace).

[diffy]

ok merci pour toutes vos réponses,

je suis vraiment débuttant en php ( ca fait 4 jours ) et je fait une petite appli pour un campus universitaire, donc c'est vrai qu'il n'y aura surement pas de surdoué de l'informatique pour me faire planter le site.

actuellement pour l'identification j'utilise les sessions avec un ID de session aléatoire et je pense que je vais m'arreter là

si j'ai le temps je me tournerais vers OpenSSL pour faire de l'https

en tt cas merci de vos réponses, c toujours agréable quand on débutte

++
Diffy