Cookie de connexion automatique : Se souvenir de moi?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par noren, 5 Juin 2015.

  1. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    Salut

    Est-ce encore utile de mettre dans nos formulaires de connexion le fameux : se souvenir de moi? Avec gestion de connexion automatique via cookies.
    Sachant que les navigateurs permettent de nos jours d'enregistrer nos infos de connexions.

    Si c’est toujours utile comment gérer vous ces cookies?

    Pour ma part je stocke en crypté : l'id, la date d'inscription du membre, sa clé d'activation (celle utilisée pour valider son compte) et la date de dernière connexion. Le mot de passe n'ai jamais stocké dans le cookie.

    Inconvénient si l'utilisateur se connecte à partir d'un autre PC, son cookie sur son pc principal ne sera plus valide.

    Autre solution, au lieu d'utiliser la date de dernière connexion, serait d'utiliser son user-agent. Le problème, c'est que la probabilité que le pirate utilise le même navigateur reste trop importante.

    Et utiliser l'IP n'est pas envisageable avec les IP dynamiques.

    Autre mesure de sécurité : les cookies de connexion automatique pour les administrateurs ne fonctionnent pas
     
  2. rick38
    rick38 WRInaute passionné
    Inscrit:
    23 Février 2013
    Messages:
    2 091
    J'aime reçus:
    378
    Pour répondre à cette partie de la question, je dirais qu'il faut distinguer "Se souvenir de moi" de quelque chose comme "Garder ma session active". Dans le premier cas, il s'agit de préremplir les cases utilisateur et mot de passe, mais l'utilisateur doit quand même cliquer sur le bouton pour se connecter. Comme les navigateurs permettent de sauver les infos, pas très utile, s'il s'agit de ça et non pas d'une connexion automatique.
     
  3. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    Je comprend la différence entre les 2 d'un point de vue technique, mais niveau utilisateur est-ce que c’est vraiment utile de conserver la session via les cookies, alors que les navigateurs permettent au moins de ne plus saisir notre login et mot de passe? je ne pense pas que ça soit trop gênant pour l'utilisateur d'avoir à cliquer sur "se connecter". Et c’est peut être un poil plus sécure non?

    Le seul inconvénient, lorsqu'ils arrivent sur le site c’est qu'ils doivent penser à se connecter, ce qui n'est pas le cas avec la connexion automatique évidemment.

    Que faites vous? gardez vous un "Se souvenir de moi?" et si oui comment gérez vous le cookie?
     
  4. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 021
    J'aime reçus:
    1
    Rien, le souci c'est pas les données que tu va utiliser ou comment tu va les crypter, le souci c'est le cookie ce qui reviens a laisser la clés de la maison cachée sous le paillasson ... :roll:
     
  5. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    Je sais bien :| c’est bien pour ça que j'essaye de trouver la solution la moins à risque tout en améliorant le confort pour les utilisateurs. c'est désagréable d'avoir a chaque fois à se rappeler de son login et passe.
    Quand on y réfléchit, pour qu'il y ai vraiment des risques il faut quand même qu'il y ai soit une faille XSS, soit qu'on est oublié d'interdire l'accès au cookie via javascript, soit qu'on ai enregistré un cookie sur un ordi public (et dans ce dernier cas, encore faut-il tomber sur une personne malveillante qui s’intéresse au site en question).

    Conseillerais tu de ne pas utiliser la connexion automatique? et de laisser éventuellement les utilisateurs enregistrer leurs login et passe via le navigateur?

    Si on regarde le forum de WRI, on a "se souvenir de moi". Y a t-il une clé sous le paillasson de WRI? :mrgreen: ou y a t-il une méthode plus viable que ces cookies que WRI utiliserait?

    Sachant quand même que mes sites n'auront pas de données sensibles, et qu'il sera impossible de se connecter automatiquement pour un administrateur. Donc impossible de voler ou d'essayer de simuler un cookie administrateur.
     
  6. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 021
    J'aime reçus:
    1
    Bah je suis "vieille école" (triste constat :D ) je n'écris, n'enregistre, ne communique jamais un mot de passe. Dès qu'on m'en demande un je regarde suspicieusement la barre d'adresse (et parfois plus) Pourquoi ? car tous les jours et souvent plusieurs fois par jour je vide cache, trucs enregistrés, etc. etc. sur mon navigateur. j'ai même deux navigateurs car je n'aime pas surfer (a titre privé) en étant connecté sur google ou facebook par exemple qui sont réservés a des usages pro. Pour certains cas j'ai même tor d'installé te dire si j'aime pas que mes datas transpire trop.

    Bref je ne coche jamais "rester connecté" ça ne m'est d'aucun usage même ma tablette android n'a jamais vu la couleur de mon login google (suis pas fou :D ). J'alune le wifi quand j'en ai besoin et le blu je sais plus quoi existe pas chez moi. :lol:

    Oui c'est chiant de se connecter tous les jours en effet mais bon mon linux démarre en console ça fait 10 ans que je me tape un login mot de passe tous les jours j'ai même des config particulières qui me demandent de me déco et me reco avec un autre compte. Pour finir même mes gamins 5 et 7 ans tapent leur mot de passe pour se connecter a windaube ...Si ils ne ferment pas leur session en fin d'utilisation je leur bote le cul.

    Les failles c'est l'utilisateur donc soit tu le forme soit tu aura une merde un jour c'est pas plus compliqué que ça.
     
  7. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    Ouhla ça tourne à la parano là non? :mrgreen:
    En même temps tu as bien raison, on est jamais trop prudent avec nos sites. c’est quand on se fait piraté ou qu'on rencontre des soucis divers et variés qu'on se rend compte qu'on aurait du être plus prudent. Et c’est une grossière erreur.

    Si je comprend bien il n'y a aucune méthode sans cookies et/ou fiable si on souhaite utiliser la connexion automatique (se souvenir de moi) ?
    Soit on fait sans, soit avec mais on prend des risques aussi minimes soient-ils?
     
  8. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 203
    J'aime reçus:
    365
  9. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    Merci Spout :wink:
    je vais regarder ça en espérant que je vais comprendre de quoi il retourne :mrgreen:
     
  10. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    @spout : je suis tombé sur ce post ou tu parle également de finger printing

    https://www.webrankinfo.com/forum/espace-membre-sessions-securisation-php-t ... 31998.html

    Si je comprend bien tu ajoute la clé de sécurité suivante à ta session ou a ton cookie d'auto connexion :

    Code:
    <?php
    $fingerprint = 'MySecretFingerPrintingKeyHoooohooo'.$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_CHARSET'];
    $fingerprint = md5($fingerprint.session_id());
    ?>
    Code:
    <?php
    $_SESSION['fingerprint'] = $fingerprint;
    ?>
    Mais le vol de session ou de cookie de connexion est sécurisé ici uniquement par le user agent? N'est-ce pas un peu trop léger? D'autant plus avec le duopole chrome et firefox qui se mettent à jour automatiquement. Donc pas si difficile de tomber sur un pirate qui utilisera le même navigateur ou qui saura essayer d'autres navigateurs.
    Sauf si 90% de la sécurité se fait ici avec $_SERVER['HTTP_ACCEPT_CHARSET'], mais je n'ai pas compris à quoi ça servait réellement.

    Quel autre élément côté navigateur à part l'ip et le user agent pourrait-on récupérer qui a plus de chance d'être stable mais plus aléatoire que le user agent (l'ip quant à elle n’est pas suffisamment stable)
     
  11. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 203
    J'aime reçus:
    365
    C'était pour la session, mais ça peux très bien s'appliquer au cookies. C'est juste un "finger printing" qui empêche un peu plus le cookie hijacking.
     
  12. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 816
    J'aime reçus:
    18
    oki merci, alors j'avais bien compris. De toute façon (pour les sites qui non pas de données à risque) la meilleur protection reste d'interdire les cookies de connections automatique pour les administrateurs du site. Qui sont surement les principales cibles.

    Je pense que je vais utiliser le user_agent au lieu de la dernière date de connexion du membre. ça devrait suffire.
    je vais integrer sur finger printing sur mes sessions et cookies :wink:
     
Chargement...
Similar Threads - Cookie connexion automatique Forum Date
L'extrait d'une page d'accueil correspond au message des cookies Référencement Google 10 Juin 2022
Config Matomo avec cookies => CMP ? Google Analytics 1 Avril 2022
Cookies Adsense et analytics Wordpress AdSense 15 Février 2022
sessions PHP sans cookies ? Développement d'un site Web ou d'une appli mobile 26 Décembre 2021
CookieBot => appréciation fausse. Référencement Google 16 Octobre 2021
Monétiser son site sans cookie ni consentement Monétisation d'un site web 3 Octobre 2021
Problème suivi GTM : url lancées, cookies absents. Développement d'un site Web ou d'une appli mobile 29 Mai 2021
Comment réduire durée de vie du cookie GTM ? Administration d'un site Web 19 Avril 2021
Mes cookies supprimés ne s'effacent pas. Administration d'un site Web 17 Avril 2021
Bookmarklet pour ignorer le consentement (cookie-consent) Développement d'un site Web ou d'une appli mobile 5 Avril 2021
Google Analytics sans cookies Google Analytics 5 Avril 2021
Cookies : les nouvelles règles de 2021 : vos questions Administration d'un site Web 10 Mars 2021
Pop up javascript + cookie Développement d'un site Web ou d'une appli mobile 3 Février 2021
Certains cookies utilisent incorrectement l’attribut recommandé « SameSite » Développement d'un site Web ou d'une appli mobile 27 Janvier 2021
Quelle config Sirdata pour un cookie perso ? Développement d'un site Web ou d'une appli mobile 28 Novembre 2020
Supprimez-vous les cookies de GA ? Google Analytics 8 Novembre 2020
Google Chrome et gestion des cookies Google : l'entreprise, les sites web, les services 4 Août 2020
Application Cordova/Android et gestion des cookies Développement d'un site Web ou d'une appli mobile 31 Juillet 2020
Tarteaucitron : Comment configurer GTM sans cookie ? Google Analytics 14 Juillet 2020
Condition liée acceptation de cookies. Droit du web (juridique, fiscalité...) 4 Mai 2020