Securité au long de la connexion - Version imprimable +- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org) +-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38) +--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51) +--- Sujet : Securité au long de la connexion (/showthread.php?tid=1615) |
Securité au long de la connexion - corentone - 21-08-2007 Bonjour! Encore une petite question pour vous tous les concepteurs Actuellement en train de coder mon jeu, je me pose une question sur la sécurité... Lors de la connexion, je mets en variable SESSION l'id du joueur connecté...mais c'est tout. Est-ce suffisant? Faites vous d'autres tests? Que mettez vous en session pour assurer la transition du joueur entre chaques pages? Car j'ai entendu qu'il ne fallait mieux pas mettre le mot de passe en session car il pouvait etre intercepté... Je pensais peut etre ajouter l'IP (et ainsi verifier qu'elle correspond bien à celle entrée dans le champs IP lors de sa connexion, cela eviterait le multicompte non?) Merci de vos reponses a mes interrogations A bientot Corentone RE: Securité au long de la connexion - Sephi-Chan - 21-08-2007 Salut, Faire passer le mot de passe par session est dangereux ? Où est le problème puisqu'il est inutile de le faire passer. Pour ma part, je ne fais jamais passer plus que l'id, puisqu'il suffit à toutes mes opérations. Concernant l'utilité du stockge de l'IP, je n'en vois pas. L'utilisation de l'IP n'est pas une bonne protection contre les multi-comptes, il peut être intéressant de la stocker pour comparer. Le mieux reste de rechercher les transactions entre même joueurs, etc. Une fois qu'on a une idée, on peu recouper avec l'IP, ou d'autres informations. C'est donc une sécurité qui se fait par couche. Sephi-Chan RE: Securité au long de la connexion - uriak - 21-08-2007 A ce propos j'apprécierais bien que l'un d'entre vous nous fasse part de son expérience (réussites et échecs) face aux tricheurs et utilisateurs de multicomptes... histoire de savoir si c'est un risque très présent, ce qu'il vaut la peine de faire ou pas... RE: Securité au long de la connexion - Fidelcastor - 21-08-2007 En effet, il est bien inutile de transmettre un mot de passe ou nom de membre si celui ci est authentifier => L'id de session sera donc le seul lien utile pour transmettre les valeurs temporaire de l'utilisateur. Citation :Est-ce suffisant? Faites vous d'autres tests? Que mettez vous en session pour assurer la transition du joueur entre chaques pages? Pour ma part, je transmet énormément de chose en URL (pas forcement le mieux mais c'est un choix), comme par exemple la cible de la frame centrale qui sera différentes entre la page de login, de choix des aventures, du jeu lui même. Je transmet aussi le résultat de tableau pour le calcul des dommages lors de combat (mais c'est pas du tout conseillé). Il faut se demander : Quelles sont les informations que j'ai besoin pour la page actuel? Ou trouver ces infos et comment les transmettre? Quelles infos je peux mettre en base pour les récupérer? Pour l'IP [public] malheureusement elle est loin d'être unique pour chaque visiteur (pensé aux fonctionnaires des administrations qui 'visitent' vos jeux). Edit : Pour uriak , regarde les posts multicompte lutte contre le multi RE: Securité au long de la connexion - uriak - 21-08-2007 merci, Fidel RE: Securité au long de la connexion - corentone - 21-08-2007 Eh bien je vais laisser juste la transmission de l'ID... @Fidel, tu n'y es pas, je parlais des informations d'authentification du joueur, pas des informations inherentes au jeu qui elles sont passées (chez moi) par POST ou GET... Merci de votre aide. Si d'autres ont leur mot à dire, n'hesitez pas RE: Securité au long de la connexion - Sephi-Chan - 21-08-2007 Fidelcastor a écrit :Pour ma part, je transmet énormément de chose en URL (pas forcement le mieux mais c'est un choix), comme par exemple la cible de la frame centrale qui sera différentes entre la page de login, de choix des aventures, du jeu lui même. Je transmet aussi le résultat de tableau pour le calcul des dommages lors de combat (mais c'est pas du tout conseillé).Là par contre ça doit être une usine à failles de sécurité. Quand on fait passer une variable d'une page à l'autre (quelle que soit la méthode), il faut pouvoir vérifier si elle n'a pas été corrompue. A partir du moment où on peut garantir son intégrité, c'est bon. Sephi-Chan RE: Securité au long de la connexion - Globe - 21-08-2007 Cependant pour répondre à uriak, les multi-comptes sont la plaie du MMO peu importe la plateforme ou l'envergure du jeu... Sur un jeu comptant une 50 de membres en BETA j'avais déjà reperé 7 mecs qui avaient des multi... Il n'y à aucune sécurité sans failles, cependant en croisant les IPs (peu fiables) et les transactions, heures de connexion des joueurs là tu peux avoir un rapport à peu près cohérent... Sachant que pour un jeu populaire ça demande une organisation assez rigoureuse et un code relativement efficace... En fait ça tient à faire un code qui va te signaler les comptes qui se connectent dans une fourchette de temps relativement restreinte, avec des interactions inégales (par exemple un joueur donne tout son or à un autre) et possiblement la même IP... Mais réaliser un code qui va te faire une analyse fiable quotidienne de tous tes joueurs demande quand même pas mal de rigueur et de réflexion. Ceci sans prendre en compte les failles de sécurité que tous les jeux comptent... Tu peux toujours les réduire au minimum, mais il y aura toujours quelqu'un de capable de trouver une faille et de percer tes sécurités... RE: Securité au long de la connexion - Fidelcastor - 21-08-2007 Citation :Tu peux toujours les réduire au minimum, mais il y aura toujours quelqu'un de capable de trouver une faille et de percer tes sécurités...@Sephi-Chan Je ne me cache pas les yeux, comme dit dans un autre sujet mon site ne contient aucune données personnelles aux joueurs. Les "pirates" peuvent bien refondre les variables pour gagner de l'argent ou des PVs, cela m'importe peu. Ceci sans parler de la lourdeur que pourrait engendrer des mesures de sécurité excessive au détriment du gameplay... Edit2 : Bref ton message une critique gratuite. :nonon: Attention, ce faite n'est pas forcement valable dans tout les cas. Si vous avez déclarer vos impôts en ligne, vous verrez que même "le ministère des intérieures" doit passer par un certificat racine pour authentifier. Note: Utiliser des expressions régulière Perl pour tester vos valeurs est une très bonne solution. Rapide et efficace quand bien construit. RE: Securité au long de la connexion - denisc - 21-08-2007 Je reviens à la première question... En session, je met l'ID ET le username, ce qui permet d'afficher sans accéder à la BD le nom du joueur connecté. Pour les multicompte, il est également aisé de récupérer l'IP. Un coockie à valeur unique sur le client, créé ou relu à l'affichage de la page d'accueil (avant connexion) et relié à cette IP est efficace, mais nécessite l'autorisation de poser un coockie chez le client. Si le coockie existe, on le relie à l'IP du client qui elle-même est reliée à l'id_user... on peut faire rapidement des recoupements de cette manière. Ca permet de relier les machines entre-elles (un coockie par machine), la plage d'IP de ces machine, et les username utilisés sur ces machines. |