Page 1 sur 2
cookie crypté
Posté : 01 août 2008, 11:59
par hakazizi
bonjour
comment faire pour mettre en place des cookie crypter car j'utilses pour le moment des cookie non crypter pour verifier si un utilisateur est connecter ou non.
je ne veux plus utiliser les sessions sur mon site car un simple cokkies peut faire le travail.
merci.
Posté : 01 août 2008, 13:47
par _activmik
Tu fais une fonction dans laquelle tu t'invente un cryptage et tu en fait une autre avec son décryptage.
Exemple, changer tous les "a" par un code du style £...
Ensuite tu n'as plus qu'a mettre ces données cryptées dans ta variable $_COOKIE.
Posté : 01 août 2008, 14:12
par hakazizi
la dessus mon systemene est efficace se n'est pas a ce niveau que que je veux le crypter ou peut-etre que je me suis mal exprimer.
c'est pour que mes cookie soit accepter dans la plupart des configuration du navigateur.
voila ce qu'il y a dans mon cookie qui permet la connexion.
$rand = rand(1,9);//on prend un chiffre au hasard entre 1 et 9
for($i=0; $i<19; $i++) { $rand1=rand(0,9); $rand="$rand$rand1"; }//on prend 19 autres chiffres entre 0 et 9
$con =$rand;//on obtient un chiffre de 20 characteres
setcookie("con",$con);//on entre la valeur dans le cookie
//on insert la valeur dans la bd
//pour la recup j'utilise
$con = ereg_replace("([^0-9])",'',$_COOKIE['con']);//on verifie que le contenue du cookie ne soit que des chiffre sinon on vire les autres characteres
if($con != NULL)
{
//si tout est bon on remplie la variable qui permt la connection
}
merci quand meme _activmik
Posté : 01 août 2008, 14:27
par _activmik
En fait tu veux que ton COOKIE soit intégré par tous les navigateurs, même ceux qui refusent les cookies ?
Si c'est ça, je sais pas si c'est possible ça
Ce serait imposé quelque chose à l'utilisateur..
Posté : 01 août 2008, 14:31
par hakazizi
il y a differend niveaux de confidentialite si il bloque tous les cookie il est bien evident que la je ne peux rien ils ne pourront jamais se connecter mais d'un niveau inferieur accepter les cookie qui ont une strategie ou quelquelque chose comme sa.
et il est assez rare que quelq'un refuse tous les cookies
Posté : 03 août 2008, 12:32
par hakazizi
mon probleme est donc insoluble?
si il y a plusieurs niveau de blocage des cokkies, c'est bien que l'on peut atteindre l'avant dernier, le dernier etant le blocage total.
merci.
Posté : 03 août 2008, 21:31
par _activmik
Mais pourquoi ne pas passer par des $_SESSION[''] ?!
Posté : 03 août 2008, 22:41
par Berzemus
Miam, c'est bon les cookies..
et pour être utile, les sessions, c'est mieux que les cookies, et ça marche même sans. Tu n'as pas a t'occuper des soi-disants "degrés" d'acceptation des cookies. Soit on accepte, soit pas. Taille max dans les 4096 caractères, maximum 20 par domaine, et max 400 en tout. C'est le minimum conseille, et donc le max pour IE6.
Posté : 03 août 2008, 23:10
par hakazizi
j'ai reussit a echapper de justesse une attaque par la session j'ai donc tout virer je preferent les cookie dont je verifie le contenue qui ne doit conetenir que des chiffre ou je bloque le script.
il a reussit a en tirer des password ma cle de cryptage md5 et plein d'autre info.
voila pourquoi je ne veux plus de session le risque est trop grand par rapport a ce quel apporte.
Posté : 04 août 2008, 09:43
par _activmik
Si la personne qui t'en veut t'as attaqué par les sessions, ca va donner quoi avec les cookies ?
Enfin, c'est ton choix, et désolé je vois pas comment faire, mais je vais suivre ce fil de discussion avec attention
Posté : 04 août 2008, 10:16
par zeus
Est-ce que tu sais que le principe des sessions est de placer un cookie sur le poste client qui contient l'identifiant de la session.
Les données de la session sont quand a elles stockées sur le serveur. Le serveur est généralement sécurisé et donc ces informations sont inaccessible sans authorisation.
Je n'ai pas tout compris dans ton système, mais tu va réinventer le principe des sessions, et donc créer un truc moins performant (une surchouche est plus lente qu'un fonctionnement intégré au coeur), moins sécurisé et moins bien pensé (par exemple, le système de portage du sessid dans l'url si refus du cookie)
Franchement, décrit nous l'attaque que tu as subis, qu'est-ce qui t'a permis de la remarquer et qu'est-ce que te fait penser que ton système est plus sécurisé ?
PS : d'expérience, je sais que quand on essaye de redévelopper les système de sécurité de PHP, c'est qu'on part dans la mauvaise direction
Posté : 04 août 2008, 11:48
par hakazizi
Posté : 04 août 2008, 11:56
par zeus
Alors, plusieurs réponses :
1/ un fichier de session côté serveur contient plus que le sessid. C'est le cookie client qui ne contient que le sessid.
2/ La taille maximale des sessions peut être configurée directement via la conf PHP (donc possible avec un code PHP ou un .htaccess)
Sinon, je ne comprend pas pourquoi tu as absolument besoin d'un cookie pour vérifier qu'il n'y ai que des chiffres
Je ne sais pas si je suis encore en vacances où si je suis plus simplement idiot, mais j'ai pas compris ce que changerais le cookie par rapport à la session.
Posté : 04 août 2008, 12:26
par hakazizi
cela evite les attaques par cookie j'y est penser aussi je verrouille tous
Posté : 04 août 2008, 14:09
par Berzemus
un cookie pour éviter les attaques par cookie ?
De ce qu'il me semble comprendre de ton autre post, c'est la requête vers ta bd qui est la cible. Je me concentrerais la dessus.