Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1572 connectés 

 


 Mot :   Pseudo :  
 
 Page :   1  2
Page Suivante
Auteur Sujet :

Comment éviter le vol de session

n°440670
drasche
Posté le 26-06-2003 à 18:31:23  profilanswer
 

Reprise du message précédent :
ben j'ai vérifié le cookie et mon mdp n'apparaît pas en clair en tout cas :o


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
mood
Publicité
Posté le 26-06-2003 à 18:31:23  profilanswer
 

n°440671
drasche
Posté le 26-06-2003 à 18:31:51  profilanswer
 

forummp3 a écrit :

peut etre pour identifier la personne [:meganne]


:non: authentifier.


---------------
Whichever format the fan may want to listen is fine with us – vinyl, wax cylinders, shellac, 8-track, iPod, cloud storage, cranial implants – just as long as it’s loud and rockin' (Billy Gibbons, ZZ Top)
n°440672
the real m​oins moins
Posté le 26-06-2003 à 18:31:57  profilanswer
 

forummp3 a écrit :

peut etre pour identifier la personne [:meganne]

:heink:  
t'as jamais entendu parler de sessions? [:gratgrat]


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440673
the real m​oins moins
Posté le 26-06-2003 à 18:32:16  profilanswer
 

drasche a écrit :

ben j'ai vérifié le cookie et mon mdp n'apparaît pas en clair en tout cas :o

ben oui c'est un md5 et alors, c'est quoi l'interet?


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440674
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 18:32:18  profilanswer
 

drasche a écrit :


en tout cas c'est ce qui se passe sur le forum, sauf qu'il est pas en clair bien entendu :whistle:

ca te prend une seconde pour les mettre en clair [:spamafote]


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440676
the real m​oins moins
Posté le 26-06-2003 à 18:33:03  profilanswer
 

forummp3 a écrit :

ca te prend une seconde pour les mettre en clair [:spamafote]

hahaha monsieur mp3 à inventé un algorithme pour décryper le md5, j'attend de voir ça avec impatience [:meganne]


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440680
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 18:41:09  profilanswer
 

the real moins moins a écrit :

hahaha monsieur mp3 à inventé un algorithme pour décryper le md5, j'attend de voir ça avec impatience [:meganne]

donne moi ton password crypté alors :D
 
le mot de passe est codé en base64 dans les cookies,tu peut trés faire le contraire: http://www.wc.cc.va.us/dtod/base64/ ,tu verra que tu peut retrouver ton password ;)


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440684
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 18:42:28  profilanswer
 

the real moins moins a écrit :

:heink:  
t'as jamais entendu parler de sessions? [:gratgrat]

ben sur mon forum j'en utilise pas et il se porte trés bien :)


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440685
the real m​oins moins
Posté le 26-06-2003 à 18:43:28  profilanswer
 

forummp3 a écrit :

donne moi ton password crypté alors :D
 
le mot de passe est codé en base64 dans les cookies,tu peut trés faire le contraire: http://www.wc.cc.va.us/dtod/base64/ ,tu verra que tu peut retrouver ton password ;)

ha si c'est en base64 ok, mais alors ça n'a VRAIMENT aucun interet :heink:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440687
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 18:45:18  profilanswer
 

the real moins moins a écrit :

ha si c'est en base64 ok, mais alors ça n'a VRAIMENT aucun interet :heink:

c pour faire croire a des gens comme toi que c'est du md5 et que c'est impossible a trouver :D


---------------
lecteur mp3 yvele's smilies jeux de fille
mood
Publicité
Posté le 26-06-2003 à 18:45:18  profilanswer
 

n°440693
karamilo
Posté le 26-06-2003 à 18:50:23  profilanswer
 

hum ton site est sensé décoder un mdp en md5() ?

n°440694
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 18:53:47  profilanswer
 

karamilo a écrit :

hum ton site est sensé décoder un mdp en md5() ?

non,en base64


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440701
karamilo
Posté le 26-06-2003 à 18:58:48  profilanswer
 

ah oui pardon  :jap:  
en effet, la c'est ridicule.
Pourquoi ils sont pas en md5 ?

n°440713
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 19:07:36  profilanswer
 

karamilo a écrit :

ah oui pardon  :jap:  
en effet, la c'est ridicule.
Pourquoi ils sont pas en md5 ?  

parce que le md5 n'est pas decryptable,donc impossible de comparer avec le mot de passe dans la bdd (car lui aussi est en clair :D )


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440719
karamilo
Posté le 26-06-2003 à 19:09:28  profilanswer
 

bah pourquoi il a besoin d'etre en clair ? :heink:
 
edit: je veux dire, pourquoi pas faire une comparaison de md5() ?


Message édité par karamilo le 26-06-2003 à 19:09:46
n°440721
the real m​oins moins
Posté le 26-06-2003 à 19:11:06  profilanswer
 

karamilo a écrit :

bah pourquoi il a besoin d'etre en clair ? :heink:
 
edit: je veux dire, pourquoi pas faire une comparaison de md5() ?

parce qu'il a pas compris comment ça marche le md5 [:spamafote]


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440722
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 19:11:45  profilanswer
 

karamilo a écrit :

bah pourquoi il a besoin d'etre en clair ? :heink:
 
edit: je veux dire, pourquoi pas faire une comparaison de md5() ?

et il fait comment pour te renvoyer le mot de passe si tu l'as oublier ?


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440723
the real m​oins moins
Posté le 26-06-2003 à 19:11:46  profilanswer
 

forummp3 a écrit :

parce que le md5 n'est pas decryptable,donc impossible de comparer avec le mot de passe dans la bdd (car lui aussi est en clair :D )


if (md5(mdpEnclair) == mdpCrypté) -> ok
 
 
 :sarcastic:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440724
the real m​oins moins
Posté le 26-06-2003 à 19:12:27  profilanswer
 

forummp3 a écrit :

et il fait comment pour te renvoyer le mot de passe si tu l'as oublier ?

ben il te le renvoie pas, il le reinitialise avec une valeur (genre clé unique) et tu peux le changer par la suite
faut sortir d'hfr un peu des fois hein


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440727
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 19:13:50  profilanswer
 

the real moins moins a écrit :


if (md5(mdpEnclair) == mdpCrypté) -> ok
 
 
 :sarcastic:  

c'est une bonne idée ca j'y avais pas pensé [:dawa]


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440728
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 19:15:27  profilanswer
 

the real moins moins a écrit :

ben il te le renvoie pas, il le reinitialise avec une valeur (genre clé unique) et tu peux le changer par la suite
faut sortir d'hfr un peu des fois hein

j'y ai deja pensé a ca aussi,mais j'ai pensé aussi au gars qui veut te faire chier et qui fait un envoie de mot de passe a ta place,ce qui fait que tu va changer de mot de passe sans que tu le veuille :D
imagine si le gars fait ca tout les jours avec ton mot de passe,tu aura tout les jours un nouveau mot de passe  :whistle:


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440731
the real m​oins moins
Posté le 26-06-2003 à 19:21:00  profilanswer
 

forummp3 a écrit :

j'y ai deja pensé a ca aussi,mais j'ai pensé aussi au gars qui veut te faire chier et qui fait un envoie de mot de passe a ta place,ce qui fait que tu va changer de mot de passe sans que tu le veuille :D
imagine si le gars fait ca tout les jours avec ton mot de passe,tu aura tout les jours un nouveau mot de passe  :whistle:  

ben non hein.
ça t'arrive de surfer ailleurs que sur hfr ou quoi!!! :heink:  
 
bon
1/ le mec à oublié son mdp
2/ il clique sur "j'ai oublié mon mdp"
3/ -> ecran qui dit "un mail vous est envoyé, veuillez suivre les insctructions"
4/ dans le mail, y'a un lien avec un identifiant unique.
5/ SEULEMENT au moment ou ce lien est utilisé (donc qd la page resetpassword.php est chargée avec l'identifiant unique sus-mentionné), tu resettes le password. (ou meme tu laisses la possibilité au mec d'en mettre un nouveau direct)
6/ y'a une limite de validité courte à ce processus.
 
Donc si qqun a envie de me faire chier il va cliquer 25fois la dessus en mettant mon mail, je v recevoir 25 mails que je vais ignorer, mais mon mdp sera pas changé. et les admins du forums jetteront cet imbécile au passage.
 
Ca n'explique tjs pas l'interet du mdp dans les cookies


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440734
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 19:24:31  profilanswer
 

the real moins moins a écrit :

ben non hein.
ça t'arrive de surfer ailleurs que sur hfr ou quoi!!! :heink:  
 
bon
1/ le mec à oublié son mdp
2/ il clique sur "j'ai oublié mon mdp"
3/ -> ecran qui dit "un mail vous est envoyé, veuillez suivre les insctructions"
4/ dans le mail, y'a un lien avec un identifiant unique.
5/ SEULEMENT au moment ou ce lien est utilisé (donc qd la page resetpassword.php est chargée avec l'identifiant unique sus-mentionné), tu resettes le password. (ou meme tu laisses la possibilité au mec d'en mettre un nouveau direct)
6/ y'a une limite de validité courte à ce processus.
 
Donc si qqun a envie de me faire chier il va cliquer 25fois la dessus en mettant mon mail, je v recevoir 25 mails que je vais ignorer, mais mon mdp sera pas changé. et les admins du forums jetteront cet imbécile au passage.
 
Ca n'explique tjs pas l'interet du mdp dans les cookies

le mot de passe il sert car les cookies ne sont pas sur,tu peut editer le fichier texte et mettre n'importe quoi,c'est comme ca que certain pouvait lire la cat 0 cat joce ne verifier que le cookie du pseudo et non le cookie du password.
d'autre question?


---------------
lecteur mp3 yvele's smilies jeux de fille
n°440738
Mara's dad
Yes I can !
Posté le 26-06-2003 à 19:29:42  profilanswer
 

Bon, résumons nous :
 
Le MDP dans les cookies, c'est pour ne pas avoir à s'authentifier à chaque fois qu'on vient sur le forum. Là tout le monde est d'accord.
 
Le MDP dans les cookies, qu'il soit en clair, en MD5 en Base64 ou en ce qu'on veut, çà ne change rien. Si on se le fait piquer, n'importe qui peut l'utiliser. Mais...
 
Tout dépend de l'utilisation.
Si le mot de passe est crypté en MD5, et s'il est assez long, (au moins 8 caractères non limité à de l'alphanumérique),
sur un forum, comme celui de joce, le MDP peut tout au plus permettre à un intrus de poster à la place de l'utilisateur légitime. Ce dernier, s'il s'en rend compte peut aller changer le mot de passe, alors que le voleur de cookie ne peut pas. Pour changer le mot de passe, il faut saisir l'ancien, la version cryptée des cookie ne suffit pas.
 
Malheureusement, le MDP du forum de Joce est en Base64, autrement dit en clair !
C'est sûr que c'est pas TOP, mais ce n'est qu'un forum.
Le danger vient du fait que les gens utilisent souvent le même MDP partout.
 
Dans la BD, si le MDP est en clair (pour pouvoir le renvoyer à un utilisateur distrait), pour le comparer à un MDP en MD5, il suffit de faire MD5(MDP_BD) = MDP_COOKIE !
 
Donc, il y a un intéres à mettre un MDP en MD5 dans les cookies. A condition qu'il ne serve pas à s'identifier pour des opérations délicates.


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°440741
the real m​oins moins
Posté le 26-06-2003 à 19:31:57  profilanswer
 

mais pq vous utilisez pas les sessions :??:


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440746
karamilo
Posté le 26-06-2003 à 19:34:23  profilanswer
 

Citation :

Le MDP dans les cookies, c'est pour ne pas avoir à s'authentifier à chaque fois qu'on vient sur le forum. Là tout le monde est d'accord.

n°440846
Mara's dad
Yes I can !
Posté le 26-06-2003 à 21:32:56  profilanswer
 

the real moins moins a écrit :

mais pq vous utilisez pas les sessions :??:


Les sessions, pour un forum !
 
Bon que propose le forum :
 
Pour tout le monde :
-Lecture des posts des cats publiques.
 
Pour les seuls utilisateurs identifiés :
-1 Rédaction de messages.
-2 Notification de message dans la cat privée.
-3 Personnalisation de l'affichage
-4 Modifications des informations personnelles
 
Bon avec un système de session (durée maxi 20 mn par exemple) que se passe-t-il ?
-Tant que l'utilisateur n'est pas authentifié :
-1 Les paramètres d'affichage sont ceux par défaut.
-2 Pas de notification en cas de message privé.
 
-L'utilisateur décide de s'authentifier. Il le restera pendant 20 minutes maxi en cas d'inactivité, mais pendant ce temps :
1- Il est prévenu de l'arrivé d'un message privé.
2- Il peut poster des messages sans mettre un user et un MDP à chaque fois.
3- L'affichage est conforme à ses préférences.
4- Il peut modifier ses informations personnelles.
 
-Si la session expire, l'utilisateur doit de nouveau s'authentifier pour retrouver ses 'privilèges'.
 
Bien entendu, avec un user et un MDP en cookie, l'utilisateur 'Membre' du forum n'a pas besoin de s'authentifier tout le temps !
 
Sachant qu'un forum n'est pas une application sensible, que doit-on choisir. 1-Session ou 2-Authentification automatique ?
 
Bien sûr, comme la majorité (je pense), en temps qu'utilisateur qui a en permanence une fenêtre ouverte sur le forum quand je suis au boulot, çà me ferait bien chier de devoir m'authentifier chaque fois que je consulte le forum, si par malheur mon boulot m'a retenu plus de 20 minutes :D  
 
Je vote donc pour la deuxième solution.
 
Celà dit, il y a des alternatives à l'utilisation des cookies. Par exemple, l'authentification HTTP.
Avec un raccourci du genre, http://user:mdp@forum.hardware.fr, plus besoin de cookie, mais c'est la même chose. Le user et le mot de passe traine plus ou moins en clair sur mon PC.
 
Finalement, le tout est de savoir faire la part entre sécurité et confort de l'utilisateur. C'est la 'sensibilité' du site qui permet de décider.
 
Pour une application très sensible, ben y'a pas grand chose d'autre qu'HTTPS ! Mais il faut quand même savoir que çà bouffe un max de ressources. A conf égale, le serveur ne poura servir au mieux qu'un dixième des utilisateurs ! Et le tiers seulement avec la même conf, mais en ajoutant des composants dédiés à la crytographie ! (Qui coûtent les yeux de la tête en plus)
 
Les sessions sont en revanche parfaitement adaptées pour gérer par exemple un site de commerce. Cà sert juste à maintenir le caddie à jour. Y'a rien de vraiement confidentiel, jusqu'à la phase de payement (qu'il faut fuire si elle n'est pas en HTTPS !). Ce genre de site, associé avec un cookie d'indentification (mais pas d'authentification, ne pas confondre :) ) permet de personnaliser le site. Rien de bien méchant en cas d'usurpation d'identité.
 
Des questions ? :D


Message édité par Mara's dad le 26-06-2003 à 21:34:18

---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°440857
the real m​oins moins
Posté le 26-06-2003 à 21:37:46  profilanswer
 

ben pour le forum moi j'utiliserais une session ou sont stockées notamment les prefs de l'utilisateur (contrairement à d'autres ou elles sont chargées en base à chaque fois :sarcastic:) ET un cookie d'identification, avec juste le username:
- le mec à tout le temps ses prefs meme s'il est pas loggé
- il doit se logger pour poster
- comme ici, il est pas obligé de passer par une page login, il peut entre son user/pass sur la page de post. -> s'il est delogé a cause d'un timeout, le password manager du browser remplira les champs qui vont bien à sa place :o
 
bref.
on parle de vol de cookie, et puis on vient dire qu'il faut foutre le pass dans le cookie je trouve ça louche quoi.


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°440860
forummp3
@@@@@@@@@@@@@ @@@@@@@@@@@@@@@@
Posté le 26-06-2003 à 21:39:42  profilanswer
 

Mara's dad a écrit un beau discours [:icon14] :


Les sessions, pour un forum !
 
[...]
 
Des questions ? :D

ca c'est de l'explication  :sol:  
tu as programmé un forum?
 
edit:quote trop grand  :whistle:


Message édité par forummp3 le 26-06-2003 à 21:43:55

---------------
lecteur mp3 yvele's smilies jeux de fille
n°441151
Mara's dad
Yes I can !
Posté le 27-06-2003 à 08:48:36  profilanswer
 

Non, j'ai jamais programmé de forum, mais plein d'autre choses !
 
Bonne idée le cookie d'identification (user simple) pour les préférences.
Il faut donc saisir le mot de passe pour chaque post, et pour consulter le messages privés.
Utiliser le gestionnaire de MDP du navigateur revient à conserver le MDP sur le client. C'est quoi la différence avec un MDP en cookie ?
 
Mais la session ne sert à rien.
Sauf si tu conserve les sessions en mémoire sur le serveur pour économiser des accès BD. Le problème, c'est que si un jour ton forum devient important et que tu est obligé de distribuer la charge sur plusieur serveur, ben tes sessions en mémoire ne peuvent plus être utilisées.
 
Dans ta solution, tu as:
-1 Session pour gérer les préférences
-2 Cookie user
-3 MDP géré par browser (pas plus safe que cookie)
 
Dans le forum:
- Cookie user + mdp
 
Lequel est le plus simple ?
Y a-t-il une différence point de vue sécurité ?
La gestion des sessions par le site est-elle plus performante qu'un accès BD pour récupérer les préférences ?


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
n°441708
the real m​oins moins
Posté le 27-06-2003 à 13:26:55  profilanswer
 

Mara's dad a écrit :

Utiliser le gestionnaire de MDP du navigateur revient à conserver le MDP sur le client. C'est quoi la différence avec un MDP en cookie ?

ben la diff. c'est qu'il n'est pas accessible en js ou autre
 
et sinon tu m'as pas compris, le client n'envoie pas le mdp à chaque post, seulement qd la session n'est plus valide. dans la session tu aurais un flag "authentifié" par ex.
 
et là difference je la vois surtout dans la clarté et simplicité du code ;)
 
 


---------------
Hey toi, tu veux acheter des minifigurines Lego, non ?
n°441978
Mara's dad
Yes I can !
Posté le 27-06-2003 à 16:50:49  profilanswer
 

the real moins moins a écrit :

ben la diff. c'est qu'il n'est pas accessible en js ou autre


 
Sans doute vrai, pour JS, mais pas pour un sniffer ;)
 
Cela dit, les cookies ne sont accessibles en JS par du code malicieu (plus pour longtemps, cf httpOnly) seulement si tu laisse n'importe qui poster du js dans ton forum  :whistle:  
 

the real moins moins a écrit :

et sinon tu m'as pas compris, le client n'envoie pas le mdp à chaque post, seulement qd la session n'est plus valide. dans la session tu aurais un flag "authentifié" par ex.
 
et là difference je la vois surtout dans la clarté et simplicité du code ;)


 
Je ne vois vraiement pas en quoi c'est plus simple  :??:  
 
Ton forum doit gérer 3 types d'utilisateurs :
-1 Anonyme
-2 Indentifié (cookie 'user' persistants)
-3 Authentifié (session validée par saisie du MDP (Saisie auto dans browser possible) )
 
Au lieu de 2
-1 Anonyme
-2 Authentifié ( cookie 'user' + 'MDP' persistants)


---------------
Laissez l'Etat dans les toilettes où vous l'avez trouvé.
mood
Publicité
Posté le   profilanswer
 

 Page :   1  2
Page Suivante

Aller à :
Ajouter une réponse
 

Sujets relatifs
comment ouvrir 2 session differenteSession//variable
Client/Serveur + scannage d'une session en coursObbliger de transmettre la session dans l URL ?
[ASP.NET] Gerer les fins de session[Flash/PHP] Passer un ID de session dans un geturl() ?
[PHP] Debutant sur session [Résolu]probleme d'id de session
Warning: session_start() [function.session-start]:Javabean/session/expiration
Plus de sujets relatifs à : Comment éviter le vol de session


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR