côté administration : même SESSION ou pas

[php_addict]

salut

je suis en train de bosser comme un fou sur la partie admin, ca demande pas mal de boulot...

et je me pose cette question toute bête:

mon répertoire admin est protégé par un .htacces et mot de passe mais j'utilise la même SESSION que dans la partie jeu , c'est à dire que je me logue sur mon jeu comme un utilisateur normal et accède à la partie admin avec un .htacess

cela vous parait il idiot? est t-il judicieux de garder le même système de session côté jeu et côté admin ? ce qui est pratique pour moi c'est que je peut passer d'un côté ou d'un autre sans problème...

et vous comment faites vous si vous faites différemment ?


PS: tiens, ca se passe comment sur un forum côté admin ? avant j'etais le super admin d'un forum phpbb mais je ne me suis jamais posé cette question...

[Globe]

En termes de sécurité je ne peux pas te répondre. Perso j'ai toujours utilisé la même session.

Sinon dans la dernière version de PHPBB du moins, il faut se relogguer pour avoir accès au panneau d'admin.

[niahoo]

sur tous mes sites je définis une constate APPNAME (dans laquelle tu peux mettre "2jhg55ujhg85" ou "fromage") et j'utilise toute ma session avec $_SESSION[APPNAME][...]

comme ça au besoin tu peux faire $_SESSION[ADMINPANEL][...] si tu veux changer de session

[Viciousity]

Tout dépend de l'architecture de ton application et du niveau de sécurité que tu veux mettre en place.

Personnellement tous les "Users" de mon jeu ont exactement les même caractéristiques (pas de champs admin_level = 0..4).
De cette manière, les droits sont gérés par un système de groupe (principe du ACL). Je renforce la sécurité de ce ACL par la création d'un hash unique a l'utilisateur et au groupe. Ainsi, même si on arrive hypothétiquement à inséré un utilisateur dans le groupe admin, celui-ci n'est pas validé et ne peut donc pas acceder a mon backend

[php_addict]

merci pour vos avis,

voici ce que j'ai mis en place:

pour un joueur normal certaines pages nécessitent certains droits d'accès

- donc en tant qu'admin j'ai un compte joueur avec un droit d'acces SUPER ADMIN qui me sert pour autoriser l'acces au côté obscur de la force (côté admin)
- j'ai rajouté un .htacces dans le répertoire d'amin car si un internaute se logue en tant que joueur admin il aura accès à la partie admin...

est ce suffisant? le mec qui arrivera à craquer le mot de passe joueur et le mot de passe htacces est bien balaise, mais c'est possible non ?

de toute façon tout système d'authentification et faillible et c'est bien là le problème...je ne vais quand même pas mettre un système de biométrie...(genre avec webcam)

POUR ceux qui ont déjà leur jeu en production:

avez vous dans vos log des tentatives de connexion à votre compte admin ?
créez vous un alerte par email lors de toute connexion à la partie admin ?

[niahoo]

tu peux surtout ne pas héberger l'admin sur le même domaine. si sur le même port

[kilak]

Pour ma part, pour l’accès à l'administration je stock dans la BDD dans ma table accounts une colonne "droit" ( ou je met les valeurs 0 ou 1 ) et pour accedez à l'administration, il faut avoir droit = 1. Très pratique pour ajouter ou retirer des administrateurs

[php_addict]

salut

Pour ma part, pour l’accès à l'administration je stock dans la BDD dans ma table accounts une colonne "droit" ( ou je met les valeurs 0 ou 1 ) et pour accedez à l'administration, il faut avoir droit = 1. Très pratique pour ajouter ou retirer des administrateurs

et est ce qu'en plus tu utilises un .htpasswd ?

[kilak]

non juste la DB