Re: [PhP securite] Transmission identifiants URL

Subject: Re: [PhP securite] Transmission identifiants URL
From: Gameplayer <gameplayer@xxxxxxx>
Date: Mon, 12 Mar 2007 10:08:01 +0100
In-reply-to: <45F50C50.3000503@free.fr>
List-post: <mailto:aide-linux@lists.over-link.net>
List-subscribe: <mailto:manager@lists.over-link.net?subject=subscribe%20aide-linux>
List-unsubscribe: <mailto:manager@lists.over-link.net?subject=unsubscribe%20aide-linux>
References: <a156a1a4f24ec4626afda00bd2b47856@tourellerie.dyndns.org> <45F5010B.1000209@libertysurf.fr> <45F50C50.3000503@free.fr>
Reply-to: aide-linux@xxxxxxxxxxxxxxxxxx

archimedelinux@xxxxxxx a écrit :

Patrice ARNAL a écrit :
Yves Lannehoa a écrit :
Bonjour
Je m'adresse à ceux qui connaissent un peu la sécurité et php
Sur l'un des sites que j'administre, il y a une partie sécurisée par identifiants. Certains voudraient qu'il soit possible d'envoyer par mail l'adresse du site avec inclusion des identifiants afin que le destinataire puisse se connecter sans avoir à saisir les dits identifiants.

Sur le principe, ça me chagrine un peu : cela signifie que les identifiants transitent en clair dans l'URL (or il s'agit d'un site contenant des infos personnelles avec mise à disposition d'espace d'achats).
Quel est votre avis ?
YL
Au niveau de la sécurité ca n'est pas terrible. Il vaut mieux à mon avis changer de méthode. De toute façon la sécurité a un prix et les utilisateurs doivent coopérer pour sécuriser LEURS données ... donc taper un login et mot de passe à chaque fois au prix d'une sécurité sans faille je pense que ca vaut le coup ... maintenant c'est sur qu'on peut imaginer pleins d'autres systèmes ...

----------------------------------

J'ajouterai tout de même qu'aucune sécurité n'est sans faille. La première faille étant généralement l'utilisateur (post-its avec tous les mots de passes, choix des mots de passe simples pour pouvoir s'en souvenir...).

Après, selon le niveau de criticicité des informations, certaines méthodes sont acceptables, d'autres non. Par exemple, si tu dois avoir un niveau élevé de sécurité, peut être utiliser le protocole https (si ce n'est pas déjà le cas) pour garantir que les informations saisies par l'utilisateur (dont les identifiants) ne sont pas lisibles par un simple dump TCP. Voir imposer des mots de passe complexes à tes utilisateurs et un changement de mot de passe régulier.

La question à se poser est double au final : est ce que les informations protégées sont importantes ? Quelles concession à leur confort les utilisateurs sont prêts à faire pour les protéger ? Un système trop restrictif risque de les rebuter et ils risquent de ne pas vouloir utiliser le système...

Florian
----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr

References:
- [PhP securite] Transmission identifiants URL
  - From: Yves Lannehoa
- Re: [PhP securite] Transmission identifiants URL
  - From: Patrice ARNAL
- Re: [PhP securite] Transmission identifiants URL
  - From: archimedelinux@xxxxxxx

Prev by Date: Re: [PhP securite] Transmission identifiants URL
Next by Date: Re: [vnc] : connexion à distance (via ssh) plus possible (RESOLU!)
Previous by thread: Re: [PhP securite] Transmission identifiants URL
Next by thread: [fc5]gnome-games
Index(es):
- Date
- Thread

Aide Linux - Liste de diffusion Ze-Linux hebergée par