Discussion :

[Gamleur84]

Salut,

Plusieurs site traite de comment faire des cookie, mais j'aimerais plus en savoir coté sécurité.

Mise en situation , 2 pages :

Index.php ( un login a droite)
connexion.php ( page de validation )

Par exemple, je possède un site avec un espace membre avec un login et un checkbox : Connexion Automatique.

La personne entre sur le site. elle entre son user + mdp et click Connect. C,est alors que Index.php appelle connexion.php, connexion.php valide le user + mdp, crée une variable session ID et renvoie l'utilisateur automatiquement sur index.php. Celui-ci est maintenant connecté.

Lorsque l'utilisateur coche l'option Connexion Automatique, connexion.php crée aussi un cookie avec un champs : ID


Alors, si la personne se représente sur le site, Index.php valide si une variable session ou un cookie existe. Si un cookie existe, je prend le ID et je le met dans une variable session.

Alors, assez simple à hacker, ouvre le cookie, change le ID et tu es connecté sous un autre noms.

Bon j'ai esseyer le mieux possible d'expliquer la situation.

Une partie de la solution : mettre le ID en md5 dans mon cookie, et ensuite refaire une requete à la base de donnée. Cela implique que je dois faire appel à connexion.php a toute les fois que quelqu'un arrive pour la premeire fois sur index.php et qu'il possède un coocki au site. Pas très professionnel.

Des ides ?

merci

[Mr N.]

Pas très professionnel.

Pourquoi ?

[XtofRoland]

ca ne change rien si ton coockie est en md5 il suffit au hacker de predre un chiffre lui appliquer du md5 et le mettre dans ton cookie.
La seul difficulté pour lui c'est de deviner que c'est du md5... ca s'appel du brouillard, pas de la protection.
fait une recherche surGDS (grain de sel) tu auras une meilleur solution.