Sécurité d'un formulaire de connexion
Utilisateur anonyme
-
Luan1604 Messages postés 130 Date d'inscription Statut Membre Dernière intervention -
Luan1604 Messages postés 130 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je vais essayer de m'exprimer aussi clairement que possible :
J'ai un site en PHP/xHTML avec un formulaire de connexion tel le suivant, dans une page que l'on va nommée "page1.php" :
Bon en suite, le code php de la page2.php compare avec salt et sha1 le mot de passe et le pseudo avec la bdd crée une session et redirige selon le résultat.
Mais lors de ces différentes étapes, il y a à mon sens 2 risque de sécurité :
Sur la page1.php, le mot de passe est stocké en clair dans la valeur de "mdp",
Sur la page2.php, $_POST['mdp'] contient encore le mot de passe clair.
Donc, il y a-t-il vraiment ces deux risques de sécurités ? Si oui, comment les contrés ?
Merci pour vos réponses !
PS :J'ai bien pensé à hasher le mot de passe de page1.php avec javascript, mais je ne connait pas le salt, qui est différent pour chaque utilisateur...
Je vais essayer de m'exprimer aussi clairement que possible :
J'ai un site en PHP/xHTML avec un formulaire de connexion tel le suivant, dans une page que l'on va nommée "page1.php" :
<form action="page2.php" method="post"> <input type="text" name="pseudo"/> //Le pseudo ! <input type="password" name="mdp"/> //Le mot de passe <input type="submit" value="connexion"/> </form>
Bon en suite, le code php de la page2.php compare avec salt et sha1 le mot de passe et le pseudo avec la bdd crée une session et redirige selon le résultat.
Mais lors de ces différentes étapes, il y a à mon sens 2 risque de sécurité :
Sur la page1.php, le mot de passe est stocké en clair dans la valeur de "mdp",
Sur la page2.php, $_POST['mdp'] contient encore le mot de passe clair.
Donc, il y a-t-il vraiment ces deux risques de sécurités ? Si oui, comment les contrés ?
Merci pour vos réponses !
PS :J'ai bien pensé à hasher le mot de passe de page1.php avec javascript, mais je ne connait pas le salt, qui est différent pour chaque utilisateur...
A voir également:
- Sécurité d'un formulaire de connexion
- Whatsapp formulaire opposition - Guide
- Gmail connexion - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Formulaire de réclamation facebook - Guide
- Mode securite - Guide
1 réponse
Javascript, c'est une mauvaise idée. N'importe qui peut déjouer javascript qui est un langage qui s'affiche dans le code source.
Pour votre problème, je dirais qu'une connexion SSL réglerait le problème. C'est ce qu'utilisent les banques, les boutiques en lignes (qui se respectent) pour se connecter et pour payer...
Luan.
Pour votre problème, je dirais qu'une connexion SSL réglerait le problème. C'est ce qu'utilisent les banques, les boutiques en lignes (qui se respectent) pour se connecter et pour payer...
Luan.
