Les Allergies
Alimentaires
Posez votre question Signaler

Connexion sécurisée pour un espace membre [Résolu]

Mouch89 90Messages postés 6 janvier 2010Date d'inscription 16 janvier 2012Dernière intervention - Dernière réponse le 2 juil. 2011 à 15:15
Bonjour,
J'aimerais sécuriser la connexion de mes membres sur mon site internet. Ou au moins, augmenter la sécurité.
La première chose à faire serait de bloquer tout logiciel de type "bruteforce"... Il suffirait soit d'installer un captcha (ce que je ne souhaite pas, c'est un peu lourd) soit bloquer les essais de connexion intempestifs.
Et c'est la que je sèche ! N'étant pas très bon en php, j'aimerais avoir un peu d'aide sur ce point.
Merci beaucoup.
Lire la suite 

Connexion sécurisée pour un espace membre »

4 réponses
Réponse
+0
moins plus
Camuke 215Messages postés 7 mai 2007Date d'inscription 12 août 2011Dernière intervention 30 juin 2011 à 17:24
Pour empêche les essais intempestif tu met un compteur d'essai que tu incrémente a chaque essai raté.

Si tu arrive a 3 par exemple, tu redirige ta page automatiquement vers une page d'erreur.

Pour l'incrément, tu peux stocké ta variable en session ou l'adresse Ip de la personne qui tente.

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Mouch89 90Messages postés 6 janvier 2010Date d'inscription 16 janvier 2012Dernière intervention 2 juil. 2011 à 12:16
J'ai codé un script qui, au bout de 5 essais foirés affiche un captcha en plus dans le formulaire de connexion.

Le nombre de connexion est incrémenté, comme tu me l'as conseillé, dans une variable de session...

je n'ai pas voulu me servir des cookies => trop simple à effacer
ni d'un script appelant de la BDD => trop de requetes je trouve

Les variables de sessions sont-elles fiables ? Je veux dire, un bot arrive, fait 5 essais. Il doit ensuite rentrer un captcha, mais y'a-t-il un moyen pour lui de reinitialiser ces variables de session (et du coup remettre le compteur à 0) ? Je ne m'y connais pas assez en php pour répondre à ce problème. Pouvez-vous m'aider ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Mouch89 90Messages postés 6 janvier 2010Date d'inscription 16 janvier 2012Dernière intervention 2 juil. 2011 à 12:46
Je viens de trouver un problème avec mon système.

Le bot doit avoir un compte.
Il fait 5 essais avec le pseudo d'un membre. Si il n'a pas encore trouvé le mdp il se connecte avec son compte puis se déconnecte (=> les SESSION s'effacent).
Du coup le compteur est reparti à 0 et le bot peut tranquillement recommencer sa boucle jusqu'à trouver le mdp du membre.


Peut être que la solution appelant une BDD n'est pas si mal finalement. Je pourrais faire en sorte qu'un utilisateur ait 10 tentatives par jour. Ce serait suffisant pour lui et cela bloquerait tranquillement tout bot du type bruteforce ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
Mouch89 90Messages postés 6 janvier 2010Date d'inscription 16 janvier 2012Dernière intervention 2 juil. 2011 à 15:15
Je reviens une nouvelle fois !

Après avoir pensé un certain nombre de solutions, je pense avoir trouvé la meilleure et sans que cela emmerde les membres (captcha quoi).
Plutôt que de connecter les membres avec leur pseudo (que tout le monde peut voir), je vais simplement leur demander une adresse mail ! Mail qui leur est personnel et que je vais hasher (et saler) dans ma BDD !

Ainsi, le bruteforce va devoir tenter un nombre incalculable de combinaisons pour trouver le login ET le mot de passe. Autant dire qu'il s'arrêtera avant :)

J'espère avoir au moins aidé quelqu'un avec ce monologue !

Merci ^^

 Ajouter un commentaire
Ajouter un commentaire
Posez votre question
Ce document intitulé « Connexion sécurisée pour un espace membre » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?