Si tu remplis un formulaire pour entrer le pass, utilise la methode POST plutot que GET, les variables ne sont pas dans l'URL, donc plus de séurité!

Pour les récuperer, c'est

var = request("nom_du_champ")

@+
NTVCM

Je vois que les cookies ou une sauvegarde dans un fichier ou une base de données...

@+
NTVCM

Le GET et le POST fonctionnent de la même manière, si tu as un code en GET qui tourne, en POST ça doit tourner aussi...

Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)

@+
NTVCM

Bouh... les enfants, un mot de passe dans l'URL ou dans le cookies ?
Très mauvaise idée.

Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !

Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.

Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).

Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.

Bonjour j'utilise une méthode post pour identifier mes utilisateurs j'avais cru comprendre que c'était sécurisé de cette manière donc je m'amusais avec mon renifleur et qu'elle surprise je vois mon mot de passe en clair :s et il en de même pour le hashage en md5 ( il suffit de déhasher) y a t'il un moyen de sécuriser cette transmition ?