Bonjour,
Voilà en ce moment j'ai créé un site intranet en PHP, sur une plateforme WAMP.
Les utilisateurs se log au site avec leurs login/pass de l'Active Directory.
Je voudrais ajouter des fonctionnalités d'administrations et pour ce faire j'ai besoin des mots de passes Administrateurs et je doute entre 2 possibilités.
La première est de conserver le mot de passe en variable de session lorsque l'utilisateur se log. Il faut savoir qu'a AUCUN moment le mot de passe ne sera renvoyé au client.
(On le rentre une fois au login et puis basta)
Ce mot de passe ne servira qu'a exécuter des fonctions coté serveur, ces fonctions ne renvoient à l'utilisateur que des pages HTML brut ( avec un peu de JS aussi pour faire beau)
La deuxième possibilité consiste à demander aux utilisateurs leur mot de passe à chaque utilisations de ces fonctions, on ne conserve pas de mot de passe donc.
Seul problème le site n'est pas en HTTPS et j'aime pas trop envoyer des mots de passes à tous vas non cryptés (pas cool) , déjà le login est très limite je trouve...(mais bon ca je peut m'arranger, et puis on est en intranet y a quand même très peu de chances qu'un employé s'amuse à sniffer les MDP, toute la journée)
Bref je voulais savoir si une variable de session que l'on initialise qu'une seule fois et qu'après on ne la touche plus, est sécurisé ?Y a t-il un risque important pour qu'une personne puisse facilement récupérer un mot de passe Administrateur.
Je sait qu'il existes des failles avec les Sessions PHP mais je ne les connais/comprends pas toutes.
Cela peut paraitre idiot comme question mais je préfère ne pas prendre de risques avec les mots de passes Admin.
Merci beaucoup.
Message édité par bilbao38 le 28-07-2010 à 13:38:47