Bonjour, j'ai commencé à développer un site en php, et j'ai choisis pour l'authentification un hybride cookie/session.
En effet, les cookies créent une session si celle-ci est inexistante. Et la session se comporte de manière identique, elle crée des cookies si ceux-là sont absents, le but étant que l'authentification de l'utilisateur se fasse rare.
Mais j'ai un léger doute quant à la sécurité de mon système.
(vous pouvez aller jeter un oeil au site en question pour plus de concret : http://ralph.le.canard.free.fr/Perle/ )
L'id, ainsi que le mot de passe (encodé en md5) sont visibles dans les cookies.
A chaque chargement d'une page, le code php vérifie que les données inscrites dans les cookies (id, mdp, statut) correspondent bien à celles de la bdd (donc qu'aucune modification n'a été faite sur les cookies) si ce n'est pas le cas un die() bloque l'accès à la page, ... mais je ne sais pas si cela suffit.
Dois-je encoder chacune des données inscrites dans les cookies ?
Dois-je me contenter d'une connexion via session (plus sécurisé) ?
Un encodage en md5 est il assez sécurisé pour des mot de passe ?
Merci d'avance ...
Partager