Discussion :

[Aikanaro-]

Bonjour, j'ai commencé à développer un site en php, et j'ai choisis pour l'authentification un hybride cookie/session.

En effet, les cookies créent une session si celle-ci est inexistante. Et la session se comporte de manière identique, elle crée des cookies si ceux-là sont absents, le but étant que l'authentification de l'utilisateur se fasse rare.

Mais j'ai un léger doute quant à la sécurité de mon système.

(vous pouvez aller jeter un oeil au site en question pour plus de concret : http://ralph.le.canard.free.fr/Perle/ )

L'id, ainsi que le mot de passe (encodé en md5) sont visibles dans les cookies.

A chaque chargement d'une page, le code php vérifie que les données inscrites dans les cookies (id, mdp, statut) correspondent bien à celles de la bdd (donc qu'aucune modification n'a été faite sur les cookies) si ce n'est pas le cas un die() bloque l'accès à la page, ... mais je ne sais pas si cela suffit.


Dois-je encoder chacune des données inscrites dans les cookies ?
Dois-je me contenter d'une connexion via session (plus sécurisé) ?
Un encodage en md5 est il assez sécurisé pour des mot de passe ?


Merci d'avance ...

[Jarodd]

Salut,

Pour les cookies, je laisse les plus expérimentés que moi te répondre. En revanche pour l'encodage des mdp, je te conseille un autre chiffrage, comme le SHA-256. MD5 (128 bits) est cassable depuis plusieurs années, il n'est plus assez sûr.

[Aikanaro-]

Apparement, c'est un cryptage de dingue, je crois que je vais me contenter de la technique du grain de sel que j'ai lu sur un post de Subzéro.

[Fladnag]

J'ai l'impression que tu as cherché a faire "ceinture et bretelle"

Si tu utilises des sessions, il est totalement inutile de stocker quoi que ce soit dans un cookie (login, mpd). De plus, comme tu le dit toi meme, le stockage de ces infos, meme cryptées, dans un cookie, n'est pas sécurisé.

Bref, pour moi je pense qu'il faudrait mieux que tu n'utilises qu'une session.

=> Si la session expire, le cookie sera supprimé et l'utilisateur devra se relogger, mais rien ne t'empeche de mettre une durée d'expiration de 2 ans au cookie de session ;o)

http://fr.php.net/manual/fr/function...kie-params.php

[hypertext]

C'est sûr que les sessions sont plus sécurisez que les cookies.
Et surtout si tu affiches le mdp en md5 dans la cookie.
Je te conseille de stocker dans une session le mot de passe encrypter.

Et surtout choisis un autre cryptage que el md5 , car le mdp5 a été décrypter il y a déjà un petit temps.

Je suis entrain de créer un jeu en ligne et je me suis aperçus d'une faille de sécurité. Je ne stockai pas le mot de passe dans une cookie donc suffisai de faire une cookie avec l'id et le pseudo du membre , et pouf on étais sur son compte. Donc maintenant j'utilise le sessions.