Crypter mot de passe dans une url
koukaratcha
-
Starsky007 -
Starsky007 -
Je développe un site Intranet avec des pages ASP et il y a une page qui est accésible par mot de passe et login.
Je passe ensuite ces paramètres dans l'URL pour la page suivante.
Je voudrais que le mot de passe soit masquer ou crypter.
Si qqc connait un scripte, merci d'avance..
Je passe ensuite ces paramètres dans l'URL pour la page suivante.
Je voudrais que le mot de passe soit masquer ou crypter.
Si qqc connait un scripte, merci d'avance..
A voir également:
- Crypter mot de passe dans une url
- Mot de passe - Guide
- Trousseau mot de passe iphone - Guide
- Url - Guide
- Mot de passe administrateur - Guide
- Mot de passe bios perdu - Guide
6 réponses
Si tu remplis un formulaire pour entrer le pass, utilise la methode POST plutot que GET, les variables ne sont pas dans l'URL, donc plus de séurité!
Pour les récuperer, c'est
var = request("nom_du_champ")
@+
NTVCM
Pour les récuperer, c'est
var = request("nom_du_champ")
@+
NTVCM
Bouh... les enfants, un mot de passe dans l'URL ou dans le cookies ?
Très mauvaise idée.
Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !
Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.
Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).
Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.
Très mauvaise idée.
Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !
Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.
Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).
Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.
Le GET et le POST fonctionnent de la même manière, si tu as un code en GET qui tourne, en POST ça doit tourner aussi...
Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)
@+
NTVCM
Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)
@+
NTVCM
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour j'utilise une méthode post pour identifier mes utilisateurs j'avais cru comprendre que c'était sécurisé de cette manière donc je m'amusais avec mon renifleur et qu'elle surprise je vois mon mot de passe en clair :s et il en de même pour le hashage en md5 ( il suffit de déhasher) y a t'il un moyen de sécuriser cette transmition ?
As tu une autre soluce STP ?