22-08-2012, 07:23 PM
J'étais intéressé par ce système. Je l'ai donc testé, j'ai fini hier ou avant hier ( je sais plus ) son installation sur un site test.
C'est plutôt intéressant.
Personnellement j'ai utilise ce système de cryptage réversible.
J'ai fais des test sur le cookie, et je voulais un résultat assez long et assez différents pour chaque utilisateur. Pour le moment je n'y stock que l'id et le time() lors de la création du compte.
Par contre je me pose une question de sécurité, si quelqu'un vole le cookie ?
J'ai donc pensé mettre en place un 2e cookie qui stock le REMOTE_ADDR que je crypte également.
Puis sur mes page qui nécessite une identification, j'ai inclus un fichier qui fait :
- décryptage REMOTE_ADDR
- Vérification REMOTE_ADDR
- Décryptage cookie_d_identification
- Si le cookie à la bonne structure
- Requête BDD pour vérification
Si une de ces étapes est mauvaise, je supprime les 2 cookies, et j’éjecte le malandrin avant l'affichage de quoique soit. Et évidemment je lui demande de s'identifier.
J'ai bien retrouvé ce que tu disais Sephi, et c'est ce qui m'intéressait dans ce système : La déconnexion possible des utilisateurs.
Ainsi quand je veux faire une MAJ, je bloque l'identification en zone admin, et je vide la table. Tout le monde est déconnecté. Et je peux bosser sans me dire qu'un utilisateur verra le site en bordel.
J'vais donc l'installer sur Damocorp, mais l'adaptation va mettre un peu plus de temps
iffle:
C'est plutôt intéressant.
Personnellement j'ai utilise ce système de cryptage réversible.
J'ai fais des test sur le cookie, et je voulais un résultat assez long et assez différents pour chaque utilisateur. Pour le moment je n'y stock que l'id et le time() lors de la création du compte.
Par contre je me pose une question de sécurité, si quelqu'un vole le cookie ?
J'ai donc pensé mettre en place un 2e cookie qui stock le REMOTE_ADDR que je crypte également.
Puis sur mes page qui nécessite une identification, j'ai inclus un fichier qui fait :
- décryptage REMOTE_ADDR
- Vérification REMOTE_ADDR
- Décryptage cookie_d_identification
- Si le cookie à la bonne structure
- Requête BDD pour vérification
Si une de ces étapes est mauvaise, je supprime les 2 cookies, et j’éjecte le malandrin avant l'affichage de quoique soit. Et évidemment je lui demande de s'identifier.
J'ai bien retrouvé ce que tu disais Sephi, et c'est ce qui m'intéressait dans ce système : La déconnexion possible des utilisateurs.
Ainsi quand je veux faire une MAJ, je bloque l'identification en zone admin, et je vide la table. Tout le monde est déconnecté. Et je peux bosser sans me dire qu'un utilisateur verra le site en bordel.
J'vais donc l'installer sur Damocorp, mais l'adaptation va mettre un peu plus de temps
iffle:
![[Image: google_320_50.jpg]](http://www.damocorp.com/image/google_320_50.jpg)