12-09-2010, 03:38 PM
mea culpa oxman, je n'avais pas pensé au sel, et dans ce cas là effectivement je me permettrais de stocker le mot de passe en cookie.
Mais dans tous les cas, je préfère stocker une clé côté client et en DB. à chaque connexion au site, je génère une nouvelle clé.
(mais pas à chaque requete hein, bien sur. pour une session une fois que la nouvelle clé est stockée, je mets un truc du genre $_SESSION['keygenerated'] = true)
Comme ça, même si l'utilisateur se fait voler un cookie, à sa prochaine connexion, il devra entrer à nouveau ses identifiants, et à partir de ce moment là, le cookie qui lui avait été volé ne sera plus valide.
Bon, je dis ça, je n'ai encore rien mis en place de tout cela, je me contente de bosser sur le jeu en lui-même, pour l'instant personne ne peut s'y connecter.
Mais dans tous les cas, je préfère stocker une clé côté client et en DB. à chaque connexion au site, je génère une nouvelle clé.
(mais pas à chaque requete hein, bien sur. pour une session une fois que la nouvelle clé est stockée, je mets un truc du genre $_SESSION['keygenerated'] = true)
Comme ça, même si l'utilisateur se fait voler un cookie, à sa prochaine connexion, il devra entrer à nouveau ses identifiants, et à partir de ce moment là, le cookie qui lui avait été volé ne sera plus valide.
Bon, je dis ça, je n'ai encore rien mis en place de tout cela, je me contente de bosser sur le jeu en lui-même, pour l'instant personne ne peut s'y connecter.