Connexion sécurisée pour un espace membre
Résolu/Fermé
Mouch89
Messages postés
109
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
11 avril 2013
-
30 juin 2011 à 16:38
Mouch89 Messages postés 109 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 11 avril 2013 - 2 juil. 2011 à 15:15
Mouch89 Messages postés 109 Date d'inscription mercredi 6 janvier 2010 Statut Membre Dernière intervention 11 avril 2013 - 2 juil. 2011 à 15:15
A voir également:
- Connexion sécurisée pour un espace membre
- Espace insécable word - Guide
- Gmail connexion - Guide
- Hotmail connexion - Guide
- Facebook connexion - Guide
- Comment liberer de l'espace sur gmail - Guide
4 réponses
Camuke
Messages postés
224
Date d'inscription
lundi 7 mai 2007
Statut
Membre
Dernière intervention
12 août 2011
88
30 juin 2011 à 17:24
30 juin 2011 à 17:24
Pour empêche les essais intempestif tu met un compteur d'essai que tu incrémente a chaque essai raté.
Si tu arrive a 3 par exemple, tu redirige ta page automatiquement vers une page d'erreur.
Pour l'incrément, tu peux stocké ta variable en session ou l'adresse Ip de la personne qui tente.
Si tu arrive a 3 par exemple, tu redirige ta page automatiquement vers une page d'erreur.
Pour l'incrément, tu peux stocké ta variable en session ou l'adresse Ip de la personne qui tente.
Mouch89
Messages postés
109
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
11 avril 2013
7
2 juil. 2011 à 12:16
2 juil. 2011 à 12:16
J'ai codé un script qui, au bout de 5 essais foirés affiche un captcha en plus dans le formulaire de connexion.
Le nombre de connexion est incrémenté, comme tu me l'as conseillé, dans une variable de session...
je n'ai pas voulu me servir des cookies => trop simple à effacer
ni d'un script appelant de la BDD => trop de requetes je trouve
Les variables de sessions sont-elles fiables ? Je veux dire, un bot arrive, fait 5 essais. Il doit ensuite rentrer un captcha, mais y'a-t-il un moyen pour lui de reinitialiser ces variables de session (et du coup remettre le compteur à 0) ? Je ne m'y connais pas assez en php pour répondre à ce problème. Pouvez-vous m'aider ?
Le nombre de connexion est incrémenté, comme tu me l'as conseillé, dans une variable de session...
je n'ai pas voulu me servir des cookies => trop simple à effacer
ni d'un script appelant de la BDD => trop de requetes je trouve
Les variables de sessions sont-elles fiables ? Je veux dire, un bot arrive, fait 5 essais. Il doit ensuite rentrer un captcha, mais y'a-t-il un moyen pour lui de reinitialiser ces variables de session (et du coup remettre le compteur à 0) ? Je ne m'y connais pas assez en php pour répondre à ce problème. Pouvez-vous m'aider ?
Mouch89
Messages postés
109
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
11 avril 2013
7
Modifié par Mouch89 le 2/07/2011 à 12:47
Modifié par Mouch89 le 2/07/2011 à 12:47
Je viens de trouver un problème avec mon système.
Le bot doit avoir un compte.
Il fait 5 essais avec le pseudo d'un membre. Si il n'a pas encore trouvé le mdp il se connecte avec son compte puis se déconnecte (=> les SESSION s'effacent).
Du coup le compteur est reparti à 0 et le bot peut tranquillement recommencer sa boucle jusqu'à trouver le mdp du membre.
Peut être que la solution appelant une BDD n'est pas si mal finalement. Je pourrais faire en sorte qu'un utilisateur ait 10 tentatives par jour. Ce serait suffisant pour lui et cela bloquerait tranquillement tout bot du type bruteforce ?
Le bot doit avoir un compte.
Il fait 5 essais avec le pseudo d'un membre. Si il n'a pas encore trouvé le mdp il se connecte avec son compte puis se déconnecte (=> les SESSION s'effacent).
Du coup le compteur est reparti à 0 et le bot peut tranquillement recommencer sa boucle jusqu'à trouver le mdp du membre.
Peut être que la solution appelant une BDD n'est pas si mal finalement. Je pourrais faire en sorte qu'un utilisateur ait 10 tentatives par jour. Ce serait suffisant pour lui et cela bloquerait tranquillement tout bot du type bruteforce ?
Mouch89
Messages postés
109
Date d'inscription
mercredi 6 janvier 2010
Statut
Membre
Dernière intervention
11 avril 2013
7
2 juil. 2011 à 15:15
2 juil. 2011 à 15:15
Je reviens une nouvelle fois !
Après avoir pensé un certain nombre de solutions, je pense avoir trouvé la meilleure et sans que cela emmerde les membres (captcha quoi).
Plutôt que de connecter les membres avec leur pseudo (que tout le monde peut voir), je vais simplement leur demander une adresse mail ! Mail qui leur est personnel et que je vais hasher (et saler) dans ma BDD !
Ainsi, le bruteforce va devoir tenter un nombre incalculable de combinaisons pour trouver le login ET le mot de passe. Autant dire qu'il s'arrêtera avant :)
J'espère avoir au moins aidé quelqu'un avec ce monologue !
Merci ^^
Après avoir pensé un certain nombre de solutions, je pense avoir trouvé la meilleure et sans que cela emmerde les membres (captcha quoi).
Plutôt que de connecter les membres avec leur pseudo (que tout le monde peut voir), je vais simplement leur demander une adresse mail ! Mail qui leur est personnel et que je vais hasher (et saler) dans ma BDD !
Ainsi, le bruteforce va devoir tenter un nombre incalculable de combinaisons pour trouver le login ET le mot de passe. Autant dire qu'il s'arrêtera avant :)
J'espère avoir au moins aidé quelqu'un avec ce monologue !
Merci ^^
