+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Adresse IP (/showthread.php?tid=4851)
RE: Adresse IP - Hideaki - 28-12-2010
Pourquoi s'embêter avec les IP pour chaque message, hormis pour les forums publics, je ne vois pas l'intérêt.
Pour jouer à des jeux web, il est presque toujours nécessaire de créer un compte donc de se connecter.
L'adresse ip de la connexion (avec une date bien-sûr) devrait être suffisante.
Si ce n'est pas suffisante, c'est peut-être que tu as un trou de sécurité dans ton application.
RE: Adresse IP - niahoo - 28-12-2010
Si vilain_pédophile se connecte avec le compte de bobby_le_lapin et envoie des messages tendencieux à cindy_la_pucelle alors que bobby_le_lapin joue tranquillement, ça peut être utile !
RE: Adresse IP - Hideaki - 28-12-2010
C'est à toi de veiller qu'on ne peut se connecter qu'une seule fois par utilisateur à ton application.
Je me cite :
Citation :Si ce n'est pas suffisante, c'est peut-être que tu as un trou de sécurité dans ton application.
EDIT :
Au pire tu as toujours son IP sauf que tu en auras deux possibles au lieu d'une ...
mais pour moi, quand tu te connectes, tu invalides la dernière session ...
RE: Adresse IP - atra27 - 29-12-2010
Et si bobby_le_lapin n'est pas connecté mais que vilain_pédophile si connecte quand même?
Non seulement c'est ta faute car ton appli n'est pas sécurisé mais tu peut faire accuser bobby_le_lapin au lieu de vilain_pédophile...
Logger pour chaque action communautaire, c'est la meilleur solution...
RE: Adresse IP - Hideaki - 29-12-2010
Justement non ... un message à une date, par rapport à la date de connexion, tu trouves l'IP CQFD
RE: Adresse IP - atra27 - 29-12-2010
C'est plus simple de faire un insert dans la table message.
D'autant que tu as quand même le message ET l'ip du posteur qui sont directement liés.
Enfin après on chipotte pour rien la
RE: Adresse IP - Hideaki - 29-12-2010
il est plus simple mais es-ce plus pertinent de toujours l'avoir ?
on a besoin de cette IP uniquement dans des cas extrême stocké, avoir une donnée redondante avec les données de connexion pour en obtenir enfin de compte aucun avantage, c'est loin d'être optimale
cela dépasse le cadre de la conversation ^^
RE: Adresse IP - niahoo - 29-12-2010
"""
C'est à toi de veiller qu'on ne peut se connecter qu'une seule fois par utilisateur à ton application.
"""
Ben non moi ça ne me pose pas de problème si bobby se connecte avec son PC sur l'interface principale mais qu'il a ouvert une page de commerce sur son iphone avant d'arriver chez lui et qu'il est toujours en train de s'en servir au moment ou il démarre l'appli sur son PC.
C'est son compte, son login, il a le droit de se connecter avec plusieurs IP je trouve. Empêcher ça c'est justement un moyen faible de colmater d'autres trous de sécurité, et qui peut se retourner contre l'utilisateur si vilain_pedophile vient de se connecter juste avant lui et que ça l'empêche de se connecter.
Fin bon, je dis ça sans expérience, mais plus basiquement, un type sur un portable qui chaneg d'ip a chaque requete, il va se retrouvé déco avec impossibilité de se co tout le temps, ou bien ton appli va faire un boulot d'attribution de nouveaux cookies de sécurité + log de l'IP à chaque fois.
RE: Adresse IP - Hideaki - 29-12-2010
niahoo a écrit :C'est son compte, son login, il a le droit de se connecter avec plusieurs IP je trouve. Empêcher ça c'est justement un moyen faible de colmater d'autres trous de sécurité,
Tu comptes mettre en place un système montrant tous les connectés permettant ainsi de les déconnecter individuellement ?
Je serais curieux de connaître tes moyens pour colmater "les autres trous de sécurité" qui en est pas un ...
Si on met un système de sécurité, c'est justement pour empêcher de tel pratique (la multi-connexion), quand tu vends un service comme Mega Up Load, tu ne souhaites pas qu'un utilisateur premium partage son compte avec d'autres utilisateurs ?
Autre exemple, tu joues dans un cybercafé et tu as oublié de te déconnecté, tu arrives chez toi 5 min après, en te connectant à nouveau tu seras bien heureux d'avoir déconnecté le PC du Cyber. Empêchant ainsi qu'une autre personne ne réduise pas tous tes efforts à néant.
niahoo a écrit :si vilain_pedophile vient de se connecter juste avant lui et que ça l'empêche de se connecter.
Hideaki a écrit :quand tu te connectes, tu invalides la dernière session ...
niahoo a écrit :un type sur un portable qui chaneg d'ip a chaque requete, il va se retrouvé déco avec impossibilité de se co tout le temps, ou bien ton appli va faire un boulot d'attribution de nouveaux cookies de sécurité + log de l'IP à chaque fois.
L'utilisation de framework permet de résoudre ce type de problème, le cookie sera renvoyé à chaque requête, si on a la premier IP, cela suffira amplement à identifier l'individu. Je ne vois pas en quoi le faite d'avoir X IP de la même personne te permettra de mieux l'identifier.
La plupart des framework gérant la sécurité à une fonction "remember" évitant de se logger constamment tout en conservant une sécurité optimum.
Pour finir, ce n'est au développeur d'application de corriger les erreurs de l'utilisateur, si celui-ci à été imprudent, qu'il a donné son mot de passe à n'importe qui c'est son problème ... de même si on mot de passe est toujours le même et que quelqu'un a réussi à le récupérer par d'autre moyen que notre application, c'est son problème.
On doit juste s'assurer qu'il n'y a pas d'utilisation frauduleuse qui pourra nous être imputable et fournir au autorité compétente les informations que nous disposons.
RE: Adresse IP - niahoo - 29-12-2010
Hmmm je dirais que je donnerai à l'utilisateur une fonctionnalité du style « terminer toutes mes sessions » comme ça le problème du cybercafé est résolu.
Je n'ai pas parlé d'identifier les personnes mais comme le disait atra, de pouvoir déterminer l'origine d'un message.
"""
Je serais curieux de connaître tes moyens pour colmater "les autres trous de sécurité" qui en est pas un ...
"""
Si vilain_pédo, de son prénom thierry, arrive a prendre la session de bobby alors oui tu as une sacré faille de sécurité. (En considérant bien sur que bobby n'y est pour rien). D'autant plus si c'est son père, partageant l'IP de son fils pour allez draguer ses copines
En fait, je considérais même comme une possibilité de pouvoir partager un compte pour jouer en coop il y a quelques jours.
Parce que mega upload, leur comptes sont payants, vois-tu, c'est normal qu'ils chassent les multi connectés. Mais le jeu que je projette de faire sera gratuit.
Je ne vais pas implémenter de système montrant les connectés non, du moins ce n'est pas prévu. Je n'ai pas prévu de panneau d'admin en mode web toute façon, trop long et chiant à faire.
Enfin, je pense que le framework que je vais utiliser permettra ça.