02-10-2014, 04:11 AM
Xenos a écrit : Eh beh... "souvent implanté dans les MMORPG"? Vraiment? Si on a une IP dynamique, cela va franchement être lourd... Ou si on est sur mobile, et qu'on passe par des antennes différentes (qui seront peut-être tes sources d'IPs), ce sera encore pire... Et je ne parle ni des proxys (qui seront peut-être enregistrés à la place du client) ni du fait que cela ne protège en rien d'un Man-In-The-Middle. Enfin, comme n'importe qui peut changer ses headers, je doute que cela protège vraiment les utilisateurs (cela ne risque pas plutôt d'être très lourdingue de rentrer leur réponse secrète eux-même?)
Bien sûr, si ma phrase fait penser le contraire, je suis conscient que les MMORPG ou autre applications qui ont ce genre de sécurité ne se basent pas sur l'IP mais bien sur la reconnaissance de la machine (sinon je ne n'aurai pas à aller chercher ce foutu mail quand j'achète un nouveau PC grrrrrh :cogne
. Mais j'avais choisi l'IP parce que je ne voyais pas comment le faire sur navigateur.Xenos a écrit : Effectivement, ce système par nature, va être lourd et probablement inadapté à la finalité (protéger le compte). Facebook fait différemment: il enregistre un cookie de très très longue durée sur la machine cliente, pour la marquer. Si une machine non marquée tente de se connecter, FB demande confirmation (par téléphone par exemple). Evidemment, le cookie-marqeur n'est pas juste du type "Marquer=true", mais il s'agit plutôt d'un token qui a une correspondance en BDD. Autrement dit, le cookie-marquer ne doit pas pouvoir être prédit. Ainsi, peu importe l'IP ou le chemin réseau de la requête, ce qui est marqué, c'est la machine.
Ah oui d'accord, merci bien pour ce tuyau. C'est la solution parfaite à mon problème et je n'avait pas pensé à passer par les cookies. Merci beaucoup :bave: