Sécuriser un Cookie d'authentification

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par dutom007, 7 Février 2010.

  1. dutom007
    dutom007 Nouveau WRInaute
    Inscrit:
    7 Décembre 2009
    Messages:
    10
    J'aime reçus:
    0
    Bonjour,

    Je voudrais utiliser le système des cookies pour faire une authentification automatique. Cependant nombres d'entre vous savent que les cookies peuvent être facilement modifié ou capté...

    Je pensais donc utiliser les cookies mais en codant les données dans un chaine JSON crypté avec MD5.

    Pour que cela soit efficace, je voudrais rajouter un donnée unique (type adresse MAC, ou une autre donnée propre à la machine de l'utilisateur). Ainsi lors du contrôle, si cette donnée ne correspond pas à celle de la machine, je peux savoir que quelque chose ne va pas...

    Cela vous semble t il correct comme idée?
    Si oui quelle donnée utiliser? Et comment la récupérer en php?

    Merci à vous.
     
  2. forummp3
    forummp3 WRInaute passionné
    Inscrit:
    8 Février 2004
    Messages:
    1 519
    J'aime reçus:
    0
    ben l'ip peut changer pour ton visiteur, surtout s'il passe derriere un proxy (clients aol par exemple).
    La meilleur solution, ben c'est de mettre une session.
     
  3. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Inclus un timestamp et un hash (MD5 par exemple) sur le timestamp, l'id de l'utilisateur et son mot de passe, ça devrait suffire, non?

    Jacques.
     
  4. forummp3
    forummp3 WRInaute passionné
    Inscrit:
    8 Février 2004
    Messages:
    1 519
    J'aime reçus:
    0
    quel serait le but?

    car si un pirate arrive a te prendre tes cookies, il pourra les utiliser ...
     
  5. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    Ca permet d'éviter que le cookie soit créé de toutes pièces (par opposition à un cookie qui dit simplement "authentification réussie, user=xxx" par exemple), et ça limite sa durée de vie, donc si quelqu'un arrive à le capter, il ne pourra pas l'utiliser éternellement (c'est toujours ça de pris). Le timestamp permet aussi de gérer des changements de clefs, par exemple.

    Maintenant, si tu veux que le cookie ne puisse pas être intercepté, pas de miracle, il va falloir passer en SSL.

    Jacques.
     
  6. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    9 115
    J'aime reçus:
    315
  7. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 593
    J'aime reçus:
    0
    L'explication donnée a l'air très bien (je n'ai pas lu, juste parcouru), par contre la solution me semble assez faiblarde, et pas forcément évidente (le choix des headers à inclure n'est pas forcément trivial: certains changent trop facilement, et d'autres sont tellement prévisibles que leur inclusion n'apporte pas grand chose). Ceci dit, s'il s'agit de sécuriser une ID de session sans authentification préalable, il n'y a pas grand chose à faire (mais il ne devrait pas y avoir grand chose à y récupérer non plus), la meilleure solution (pour éviter le risque que quelqu'un "devine" l'ID plutôt que ne le capture), étant probablement d'avoir des IDs non prévisibles (i.e. pas bêtement séquentiels).

    Jacques.
     
Chargement...
Similar Threads - Sécuriser Cookie authentification Forum Date
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015
sécuriser les injections SQL Développement d'un site Web ou d'une appli mobile 20 Novembre 2014
Quel outil pour sécuriser un site ? vérification périodique des fichiers Administration d'un site Web 21 Octobre 2011
Comment sécuriser le lien de mon produit numérique ? e-commerce 18 Août 2011
Sécuriser le fichier error_log par htaccess URL Rewriting et .htaccess 2 Avril 2010
Sécuriser/protéger un site contre d'éventuelles attaques Développement d'un site Web ou d'une appli mobile 12 Mars 2010
Sécuriser l'index du site du duplicate à cause des index multiples Débuter en référencement 18 Février 2010
Sirdata donne des cookies bientôt invalides. Administration d'un site Web 29 Décembre 2020
Quelle config Sirdata pour un cookie perso ? Développement d'un site Web ou d'une appli mobile 28 Novembre 2020
Supprimez-vous les cookies de GA ? Google Analytics 8 Novembre 2020