Re: [PhP securite] Transmission identifiants URL

Subject: Re: [PhP securite] Transmission identifiants URL
From: "Laurent Cimmier" <cimcim_lolo@xxxxxxxxxxx>
Date: Mon, 12 Mar 2007 11:24:02 +0100
In-reply-to: <45F502CA.9020009@free.fr>
List-post: <mailto:aide-linux@lists.over-link.net>
List-subscribe: <mailto:manager@lists.over-link.net?subject=subscribe%20aide-linux>
List-unsubscribe: <mailto:manager@lists.over-link.net?subject=unsubscribe%20aide-linux>
Reply-to: aide-linux@xxxxxxxxxxxxxxxxxx

Bonjour. Je ne suis pas un pro, mais ce qu'on voit de temps en temps sur la toile, c'est ce genre de lien, mais qui n'est valable que pour une certaine durée... Généralement 24h. Ca n'empeche rien, mais ca limite les risques.... Cordialement Laurent

From: Gameplayer <gameplayer@xxxxxxx>
Reply-To: aide-linux@xxxxxxxxxxxxxxxxxx
To: aide-linux@xxxxxxxxxxxxxxxxxx
Subject: Re: [PhP securite] Transmission identifiants URL
Date: Mon, 12 Mar 2007 08:35:38 +0100
Si tu n'as pas le choix pour le fait d'utiliser cette méthode de connexion par mail (fortement déconseillé tout de même),utilise une méthode de hash pour transmettre les identifiants (tu transmets une chaîne unique qui est par exemple le md5 du pass concaténé avec une chaîne tenue secrète concaténée avec le login ca va te donner une url du genre : http://url.de.ton.site/pageconcernee.php?id=5df236e3f2d13...)

par contre le grand risque avec cette méthode, c'est que n'importe qui tombant sur le mail ou l'interceptant peu rentrer sans connaître les passes.
J'espère t'avoir aidé,
Amicalement,
Florian
xavier.lemoine a écrit :
Assez risqué (email). Préférer à mon sens le système de "mémorisation" des identifiants et pass par cookies. Chabi01 - XLFormation http://www.xlformation.sup.fr

Yves Lannehoa a écrit :
Bonjour
Je m'adresse à ceux qui connaissent un peu la sécurité et php
Sur l'un des sites que j'administre, il y a une partie sécurisée par identifiants. Certains voudraient qu'il soit possible d'envoyer par mail l'adresse du site avec inclusion des identifiants afin que le destinataire puisse se connecter sans avoir à saisir les dits identifiants.

Sur le principe, ça me chagrine un peu : cela signifie que les identifiants transitent en clair dans l'URL (or il s'agit d'un site contenant des infos personnelles avec mise à disposition d'espace d'achats).
Quel est votre avis ?
YL
----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr
----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr

_________________________________________________________________ Découvrez le Blog heroic Fantaisy d'Eragon! http://eragon-heroic-fantasy.spaces.live.com/

----------------------------------
Informations, désabonnement, règles, obligations sur la liste Aide-Linux :
http://lists.ze-linux.org/howto_ml.html
Liste Herbergee par Over-Link [http://www.over-link.net]
----------------------------------
Annonces immobilieres, auto, moto ... http://www.uneannonce.fr

References:
- Re: [PhP securite] Transmission identifiants URL
  - From: Gameplayer

Prev by Date: Re: [vnc] : connexion à distance (via ssh) plus possible (RESOLU!)
Next by Date: Re:[nagios] Probleme de connexion web
Previous by thread: Re: [PhP securite] Transmission identifiants URL
Next by thread: Re: [PhP securite] Transmission identifiants URL
Index(es):
- Date
- Thread

Aide Linux - Liste de diffusion Ze-Linux hebergée par