A voir également:
- Crypter mot de passe dans une url
- Piratage facebook changer mot de passe - Guide
- Voir mot de passe wifi android - Guide
- Mot de passe administrateur - Guide
- Mettre un mot de passe sur un dossier - Guide
- Outlook mot de passe oublié - Guide
6 réponses
NTVCM
Messages postés
165
Date d'inscription
mardi 11 septembre 2001
Statut
Membre
Dernière intervention
14 mai 2002
20
25 févr. 2002 à 10:31
25 févr. 2002 à 10:31
Si tu remplis un formulaire pour entrer le pass, utilise la methode POST plutot que GET, les variables ne sont pas dans l'URL, donc plus de séurité!
Pour les récuperer, c'est
var = request("nom_du_champ")
@+
NTVCM
Pour les récuperer, c'est
var = request("nom_du_champ")
@+
NTVCM
Bouh... les enfants, un mot de passe dans l'URL ou dans le cookies ?
Très mauvaise idée.
Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !
Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.
Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).
Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.
Très mauvaise idée.
Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !
Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.
Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).
Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.
NTVCM
Messages postés
165
Date d'inscription
mardi 11 septembre 2001
Statut
Membre
Dernière intervention
14 mai 2002
20
25 févr. 2002 à 10:48
25 févr. 2002 à 10:48
Je vois que les cookies ou une sauvegarde dans un fichier ou une base de données...
@+
NTVCM
@+
NTVCM
NTVCM
Messages postés
165
Date d'inscription
mardi 11 septembre 2001
Statut
Membre
Dernière intervention
14 mai 2002
20
25 févr. 2002 à 10:55
25 févr. 2002 à 10:55
Le GET et le POST fonctionnent de la même manière, si tu as un code en GET qui tourne, en POST ça doit tourner aussi...
Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)
@+
NTVCM
Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)
@+
NTVCM
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
bonjour j'utilise une méthode post pour identifier mes utilisateurs j'avais cru comprendre que c'était sécurisé de cette manière donc je m'amusais avec mon renifleur et qu'elle surprise je vois mon mot de passe en clair :s et il en de même pour le hashage en md5 ( il suffit de déhasher) y a t'il un moyen de sécuriser cette transmition ?
25 févr. 2002 à 10:42
As tu une autre soluce STP ?