26-01-2007, 10:39 AM
(Modification du message : 26-01-2007, 10:44 AM par NicoMSEvent.)
l'identification par cookie...
il ya plusieurs nuances.
1°)Soit mettre l'identifiant et le mot de passe (plus ou moins crypté dans le cookie -> a éviter),
2°)Passer un identifiant de session soit dans l'url (qui changera forcément a chaque session), soit dans le cookie (qui au final est la meme chose),
3°)Un cookie crypté en ssl avec l'identifiant de session dedans (pour l'instant, je ne connais pas plus sur).
Le petit plus, est de tester le referer, et l'adresse IP du client (on renforce la sécurité)
1°)pour le referer : ça évite la pluspart des attaques bruttes
2°)pour le test de l'adresse IP : le vol d'identifiant ne servirait a rien, a moins d'etre derriere le meme routeur.
il ya plusieurs nuances.
1°)Soit mettre l'identifiant et le mot de passe (plus ou moins crypté dans le cookie -> a éviter),
2°)Passer un identifiant de session soit dans l'url (qui changera forcément a chaque session), soit dans le cookie (qui au final est la meme chose),
3°)Un cookie crypté en ssl avec l'identifiant de session dedans (pour l'instant, je ne connais pas plus sur).
Le petit plus, est de tester le referer, et l'adresse IP du client (on renforce la sécurité)
1°)pour le referer : ça évite la pluspart des attaques bruttes
2°)pour le test de l'adresse IP : le vol d'identifiant ne servirait a rien, a moins d'etre derriere le meme routeur.
Je signale que je ne détiens pas la vérité unique et absolue, je peux me tromper. La critique peut aussi être constructive. Critiquez moi!
La quête d'Ewilan
http://easy2hack.ma-soiree.be
La quête d'Ewilan
http://easy2hack.ma-soiree.be