authentification questions ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par pssinjaune, 20 Avril 2010.

  1. pssinjaune
    pssinjaune WRInaute discret
    Inscrit:
    1 Octobre 2008
    Messages:
    111
    J'aime reçus:
    0
    Bonjour,

    J'ai besoin de vos conseils eclairés,

    J'ai dev un module d'authentification sur un site.

    Actuellement,
    je stocke en session
    Le login, le password et un flag qui a pour valeur true ou false
    true quand l'utilisateur est authentifier
    false s'il ne l'est pas

    Sur les pages qui nécessitent d'etre authentifier je me contente de vérifier le flag,
    Je ne vérifie plus le couple login/password
    Cela m'évite de faire appel a la bdd a chaque fois.

    Est ce que cette methode est correcte ?
    Faut il proceder a une verif pour chaque page du couple login/password et donc faire appel a la bdd

    De maniere generale,
    Est il possible a un utilisateur de voir les infos strocker en session ?
    Si oui, peut il les simuler ou modifier et donc mettre le flag a true et se balader où il le souhaite sans jamais avoir eu besoin de s'identifier ?

    merci d'avance pour vos reponses car j'ai un petit doute sur la securité de mon systeme là d'un coup
     
  2. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 207
    J'aime reçus:
    365
    La méthode à l'air correcte, les données de session se trouvent sur le serveur, il me semble que c'est fréquent de stocker les données du membre loggué en session.
    Par contre tu peux y ajouter un finger printing basé sur le USER AGENT à la session pour y ajouter un peu plus de sécurité:
    http://shiflett.org/articles/session-hijacking
     
  3. pssinjaune
    pssinjaune WRInaute discret
    Inscrit:
    1 Octobre 2008
    Messages:
    111
    J'aime reçus:
    0
    merci pour ta reponse,

    Apres lecture du liens, j'ai mis en place le fingerprint.
    Ca m'a pris 2 min et si ca peut ameliorer la securité, je vais pes m'en priver

    Merci encore, grace a toi je me coucherais moins bete ce soir
     
  4. nickargall
    nickargall WRInaute accro
    Inscrit:
    13 Juin 2005
    Messages:
    6 601
    J'aime reçus:
    4
    J'ai souvent eue t lu le conseil de ne pas stocker le password dans une variable de session.
     
  5. Haroeris
    Haroeris WRInaute impliqué
    Inscrit:
    13 Avril 2010
    Messages:
    649
    J'aime reçus:
    0
    Oui vaut mieux ne pas le mettre en session : C'est inutile d'une part et dangereux d'autre part : suffit qu'une faille permettent d'afficher une variable et pouf le mot de pass apparait (et même crypté, ca peut être cassé par force brute).
    Alors mieux vaut ne pas tenter le diable.
     
Chargement...
Similar Threads - authentification questions Forum Date
2 questions: 404 et authentification Développement d'un site Web ou d'une appli mobile 23 Août 2006
Comment créer un fichier SPF (authentification emails) ? Noms de domaine et référencement 14 Mars 2022
Authentification forte : problème de paiement ? e-commerce 7 Octobre 2021
Code d'authentification d'un NDD Noms de domaine et référencement 28 Novembre 2018
Code d'authentification NDD Noms de domaine et référencement 9 Juillet 2018
Socyalize.com - Outil d'authentification sociale pour webmaster Demandes d'avis et de conseils sur vos sites 25 Octobre 2016
Htaccess : mettre une authentification + HTTPS URL Rewriting et .htaccess 26 Août 2016
User authentification / session timeout? Développement d'un site Web ou d'une appli mobile 29 Mai 2013
Authentification htaccess et cookie Développement d'un site Web ou d'une appli mobile 7 Juin 2012
Apache - Problème authentification dossier hors DocumentRoot Administration d'un site Web 26 Mai 2011
qmail : smtp avec authentification Administration d'un site Web 9 Mai 2011
Authentification par htaccess qui "boucle" n fois si n fichiers protégés Développement d'un site Web ou d'une appli mobile 19 Novembre 2010
Authentification a joomla avec une adresse email Développement d'un site Web ou d'une appli mobile 4 Octobre 2010
Sécuriser un Cookie d'authentification Développement d'un site Web ou d'une appli mobile 7 Février 2010
processus d'authentification de google Administration d'un site Web 22 Novembre 2008
"Erreur d'authentification 401" alors que tout est Crawl et indexation Google, sitemaps 4 Septembre 2008
Forcer en ssl & Authentification avec htaccess Administration d'un site Web 10 Août 2007
2 fichiers d'authentification Google sur un seul site Google : l'entreprise, les sites web, les services 18 Juillet 2007
Pb d'authentification sur OVH manager avec FF Administration d'un site Web 18 Juillet 2007
Recherche forum sans module d'authentification Développement d'un site Web ou d'une appli mobile 19 Juin 2007