29-12-2010, 05:47 PM
niahoo a écrit :C'est son compte, son login, il a le droit de se connecter avec plusieurs IP je trouve. Empêcher ça c'est justement un moyen faible de colmater d'autres trous de sécurité,
Tu comptes mettre en place un système montrant tous les connectés permettant ainsi de les déconnecter individuellement ?
Je serais curieux de connaître tes moyens pour colmater "les autres trous de sécurité" qui en est pas un ...
Si on met un système de sécurité, c'est justement pour empêcher de tel pratique (la multi-connexion), quand tu vends un service comme Mega Up Load, tu ne souhaites pas qu'un utilisateur premium partage son compte avec d'autres utilisateurs ?
Autre exemple, tu joues dans un cybercafé et tu as oublié de te déconnecté, tu arrives chez toi 5 min après, en te connectant à nouveau tu seras bien heureux d'avoir déconnecté le PC du Cyber. Empêchant ainsi qu'une autre personne ne réduise pas tous tes efforts à néant.
niahoo a écrit :si vilain_pedophile vient de se connecter juste avant lui et que ça l'empêche de se connecter.
Hideaki a écrit :quand tu te connectes, tu invalides la dernière session ...
niahoo a écrit :un type sur un portable qui chaneg d'ip a chaque requete, il va se retrouvé déco avec impossibilité de se co tout le temps, ou bien ton appli va faire un boulot d'attribution de nouveaux cookies de sécurité + log de l'IP à chaque fois.
L'utilisation de framework permet de résoudre ce type de problème, le cookie sera renvoyé à chaque requête, si on a la premier IP, cela suffira amplement à identifier l'individu. Je ne vois pas en quoi le faite d'avoir X IP de la même personne te permettra de mieux l'identifier.
La plupart des framework gérant la sécurité à une fonction "remember" évitant de se logger constamment tout en conservant une sécurité optimum.
Pour finir, ce n'est au développeur d'application de corriger les erreurs de l'utilisateur, si celui-ci à été imprudent, qu'il a donné son mot de passe à n'importe qui c'est son problème ... de même si on mot de passe est toujours le même et que quelqu'un a réussi à le récupérer par d'autre moyen que notre application, c'est son problème.
On doit juste s'assurer qu'il n'y a pas d'utilisation frauduleuse qui pourra nous être imputable et fournir au autorité compétente les informations que nous disposons.