stocker un mot de passe dans une variable de session (en clair) [PHP] - PHP - Programmation
Marsh Posté le 29-10-2003 à 09:39:05
session
Marsh Posté le 29-10-2003 à 11:03:57
Citation : session |
Oui mais encore?
Dois-je comprendre que tu recommandes l'utilisation d'une variable de session pour stocker mon password (ce que je fais pour l'instant car j'ai rien trouvé de mieux)?
Marsh Posté le 29-10-2003 à 16:31:39
il n'est nul besoin de le stocker en clair. Il te suffit de faire la comparaison entre mots de passe chriffrés.
Marsh Posté le 29-10-2003 à 16:52:39
Azzazel a écrit : il n'est nul besoin de le stocker en clair. Il te suffit de faire la comparaison entre mots de passe chriffrés. |
S'il a besoin du mot de passe en clair pour une appli externe il peut pas en stocker un hash
Marsh Posté le 30-10-2003 à 07:57:17
Citation : S'il a besoin du mot de passe en clair pour une appli externe il peut pas en stocker un hash |
Ben voui.
Bon sinon je pense que je vais stocker mes sessions dans la BD, au moins les passwords ne seront pas en clairs dans un fichier present sur le serveur.
Marsh Posté le 30-10-2003 à 08:07:06
sinon tu peux le chiffrer (et pas le hasher, nuance )
le chiffrement est une opération réversible
genre en 3-DES, ou quelquechose comme ça
mais le pb c'est que la clé qui va te servir à chiffre/déchiffrer elle sera bien aussi quelque part sur le serveur
Marsh Posté le 30-10-2003 à 08:14:24
Citation : sinon tu peux le chiffrer (et pas le hasher, nuance ) |
Oui mais c'est deja mieux que d'avoir un password que tu peux recuperer en ouvrant un fichier de session avec Notepad.
Au fait, c'est pas possible sous Windows de mettre des droits suivant l'utilisateur sur les fichiers (comme sous Unix/Linux)?
Marsh Posté le 30-10-2003 à 08:39:52
impulse a écrit :
|
C'est une blague ? Tu as ton fichier de session dispo sur internet toi ?? C'est en amont de ton www qu'il faut le mettre, et là, tu peux courrir pour le voir... Il faut obligatoirement passer par ftp pour y avoir accès...
Marsh Posté le 30-10-2003 à 08:45:55
Citation : C'est une blague ? Tu as ton fichier de session dispo sur internet toi ?? C'est en amont de ton www qu'il faut le mettre, et là, tu peux courrir pour le voir... Il faut obligatoirement passer par ftp pour y avoir accès... |
Bien sur, il faut deja avoir un acces sur le serveur.
Enfin, il faut prevoir toutes les eventualités.
Marsh Posté le 30-10-2003 à 09:59:29
impulse a écrit :
|
Non je voulais dire d'utiliser les session ! Pas besoin de stocker le pw pour ca, l'ID de la session suffit.
Marsh Posté le 30-10-2003 à 10:58:31
Citation : Non je voulais dire d'utiliser les session ! Pas besoin de stocker le pw pour ca, l'ID de la session suffit. |
Ah oui? Et je fais quoi apres quand j'ai besoin de mon password pour l'utiliser dans une ligne de commande
Marsh Posté le 30-10-2003 à 11:09:59
>_<
Pour la enieme fois => j'ai besoin du password plus tard pour utiliser une appli externe qui utilise la meme methode d'authentification (LDAP). Voila pourquoi il faut que je stocke le password qque part.
Marsh Posté le 30-10-2003 à 12:00:07
Si il te faut obligatoirement en clair et que tu ne veux pas avoir à le rerentrer un énième fois, le mieux reste de le stocker dans une variable de session.
Marsh Posté le 30-10-2003 à 12:23:12
impulse a écrit :
|
Oué enfin bon, si tu pars du principe qu'on peut avoir accès au serveur, c'est pas gagné, tu pourras faire ce que tu veux, y'aura toujours un moyen là...
Même en passant par une DB, ca doit être possible de lire les fichiers de la DB, etc...
Marsh Posté le 30-10-2003 à 13:33:50
ratibus a écrit :
|
et ensuite
Citation : ratibus a écrit |
J'ai justement utilisé le mot "chiffré" à cette effet ... Il compare les mot de passe chiffrés pour son appli internet et il le déchiffre pour son appli externe ...mais bon ...
Marsh Posté le 28-10-2003 à 15:33:21
Boooo, c'est mal!
Mais alors comment proceder si on veut que l'utilisateur entre le username/password une seule fois au moment du login et qu'on a besoin du password ensuite assez souvent pour acceder a une application externe (en plus il faudrait avoir le password en clair pour l'utiliser dans une ligne de commande)?