Cookies et sécurité ?
lezao
Messages postés
505
Statut
Membre
-
lezao Messages postés 505 Statut Membre -
lezao Messages postés 505 Statut Membre -
Bonjour,
Je voudrais savoir si il est possible d'utiliser des cookies et que ce soit sécurisé ?
car j'imagine que si queql'un recupere le cookie d'un utilisateur et le place dans son ordi , il sera reconnu comme l'utilisateur en question.
j'ai vu que l'on pouvait utiliser le phpsessid , mais est'ce valable au niveau sécurité ?
auriez vous des adresses de tutoriaux en français ou des reponses concernant la sécurisation d'un cookie avec php ? merci.
Je voudrais savoir si il est possible d'utiliser des cookies et que ce soit sécurisé ?
car j'imagine que si queql'un recupere le cookie d'un utilisateur et le place dans son ordi , il sera reconnu comme l'utilisateur en question.
j'ai vu que l'on pouvait utiliser le phpsessid , mais est'ce valable au niveau sécurité ?
auriez vous des adresses de tutoriaux en français ou des reponses concernant la sécurisation d'un cookie avec php ? merci.
A voir également:
- Cookies et sécurité ?
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Supprimer les cookies - Guide
- Clé de sécurité windows 10 gratuit - Guide
1 réponse
Salut.
Tu peux utiliser les sessions sur ton serveur.
Si tu souhaites faire un système de connexion automatique, stocke l'identifiant et le mot de passe dans un cookie. À chaque chargement de page, si l'utilisateur n'est pas connecté, il suffira de vérifier si les deux variables ($_COOKIE['login'] et $_COOKIE['password']) existent : si oui, tu essayes de le connecter, sinon, tu ne fais rien.
Tu peux utiliser les sessions sur ton serveur.
Si tu souhaites faire un système de connexion automatique, stocke l'identifiant et le mot de passe dans un cookie. À chaque chargement de page, si l'utilisateur n'est pas connecté, il suffira de vérifier si les deux variables ($_COOKIE['login'] et $_COOKIE['password']) existent : si oui, tu essayes de le connecter, sinon, tu ne fais rien.
Pour ça, tu dois :
- Crypter le mot de passe dans la base de données (lors de l'inscription et de la modif. du compte)
- Crypter le mot de passe dans le cookie
- Crypter le mot de passe dans $_POST avant de le comparer pour la connexion
- Ne pas crypter le mot de passe dans $_COOKIE avant de le comparer pour la connexion
Pour hasher une chaine en MD5, il suffit d'utiliser la fonction md5(string $chaine).
https://www.php.net/md5
J'ai juste une quesstion qui me reste....
Si quelqu'un fait un copier coller du fichier cookie et le met dans son dossier cookie, est-ce qu'il ne se connecte pas a la place de la personne piraté ?
c'est ce que je comprend pas, parceque faire un MD5 sur un mot de passe, permet de ne pas le lire ok, mais rien n'empeche de piquer le cookie et de le coller , non ?
Le plus simple serait alors de ne cookifier (lol) que le login et de demander le mot de passe quand meme, mais c'est dommage que ce soit pas plus simple et sécurisé.
Quoi que presque impossible a part toujours L'ip qui est la seule preuve de l'autenticité de la personne, encore que plusieurs individu dans un meme foyer pourrais se pirater entre eux (lol) a cause de l'ip en commun.
Bon je m'emballle..... je vais regarder ça en détail...merci encore.