Révision du tuto :
- remplacement du "cryptage" par du "hachage"
- remplacement de la fonction PASSWORD (que je viens de voir comme déconseillée par MySQL) par un SHA1 (sur 160 bits).
- ajout d'un peu plus de documentation et de références
Le SHA1 est considéré comme plus sûr que le MD5, d'où l'utilisation du SHA1 pour le chiffrement du mot de passe, et du MD5 pour le hach de contrôle.
Si tu as plusieurs personnages pour un même compte (c'est mon cas aussi) tu as sans doute une interface d'administration des personnages, et une interface d'administration des utilisateurs ? (en tout cas c'est mon cas, en particulier pour pouvoir gérer, plus tard, les points payant qui seront du niveau utilisateur et non personnage)
Dans ce cas, dans l'écran d'administration des utilisateurs (et non des personnages) j'ai besoin d'un moyen de pouvoir identifier clairement un utilisateur... je pourrais le faire sur l'adresse mail, mais je préfère utiliser le login.
En plus, je trouve que le chiffrement du login n'apporte pas vraiment de sécurité en plus...
Sauf... pour les utilisateurs qui vont utiliser leur login comme mot de passe... mais dans ce cas, j'ai tendance plutôt à rajouter un contrôle à la création du compte pour imposer un niveau de sécurité minimum sur le mot de passe (minuscule + majuscule + au moins un caractère non alphabétique et différent du login)
Voilà, maintenant si tu as un autre champs, unique, dans ta table utilisateur qui te permet de retrouver facilement ton utilisateur et savoir de qui tu causes dans ton interface d'administration, alors je ne vois pas vraiment d'inconvénient à chiffrer aussi le login.
- remplacement du "cryptage" par du "hachage"
- remplacement de la fonction PASSWORD (que je viens de voir comme déconseillée par MySQL) par un SHA1 (sur 160 bits).
- ajout d'un peu plus de documentation et de références
Le SHA1 est considéré comme plus sûr que le MD5, d'où l'utilisation du SHA1 pour le chiffrement du mot de passe, et du MD5 pour le hach de contrôle.
(23-12-2010, 09:39 AM)NicoMSEvent a écrit : Un login n'est pas forcément l'e-mail ou le nom du personnage. J'ai d'ailleurs envie (dans mon jeu) de pouvoir controler plusieurs personnage avec un même compte
Le login est la moitié des données d'identification, et le mot de passe la seconde moitié. En cryptant le login, ou protège la premiere moitié
Si ton avis diverge, je serais heureux que tu argumentes pour me donner un angle de vision différent
Si tu as plusieurs personnages pour un même compte (c'est mon cas aussi) tu as sans doute une interface d'administration des personnages, et une interface d'administration des utilisateurs ? (en tout cas c'est mon cas, en particulier pour pouvoir gérer, plus tard, les points payant qui seront du niveau utilisateur et non personnage)
Dans ce cas, dans l'écran d'administration des utilisateurs (et non des personnages) j'ai besoin d'un moyen de pouvoir identifier clairement un utilisateur... je pourrais le faire sur l'adresse mail, mais je préfère utiliser le login.
En plus, je trouve que le chiffrement du login n'apporte pas vraiment de sécurité en plus...
Sauf... pour les utilisateurs qui vont utiliser leur login comme mot de passe... mais dans ce cas, j'ai tendance plutôt à rajouter un contrôle à la création du compte pour imposer un niveau de sécurité minimum sur le mot de passe (minuscule + majuscule + au moins un caractère non alphabétique et différent du login)
Voilà, maintenant si tu as un autre champs, unique, dans ta table utilisateur qui te permet de retrouver facilement ton utilisateur et savoir de qui tu causes dans ton interface d'administration, alors je ne vois pas vraiment d'inconvénient à chiffrer aussi le login.