Sécurité de mon script
Bonjour,
J'ai sur mon site une fonction permettant de logguer automatiquement un administrateur grâce à un cookies, et je procède de la manière suivante pour vérifier l'authenticité de ce dernier : si la valeur du cookie est égale à celle de la constante PSEUDO_ADMIN, alors, je loggue. Mais je me pose une question : si un utilisateur forge un cookie avec la valeur de PSEUDO_ADMIN, il sera automatiquement loggué.
Donc au final, ma solution est-elle réellement sécurisée ? Que me recommandez-vous pour remédier à cela ?
Réponses apportées à cette discussion
Effectivement ta solution n'est pas fiable en terme de sécurité. Voici ce que tu peux faire pour améliorer tout ça :
1/ Tu donnes à ton cookie un nom qui trompe le hacker. Par exemple "session_id" ou "preferences" ou "template" ou "sondage"... Mais pas quelque chose du genre "autologin", "administration"...
2/ Tu peux insérer comme valeur du cookie un md5() de la concaténation du pseudo de l'admin et de son email par exemple. Ou d'une chaine aléatoire. Par exemple md5(PSEUDO_ADMIN.'tonemail@tonsite.com'). Tu stockes ce md5() généré dans ta BDD ou dans un fichier de config simplement. Ca te permettra de tester que les deux md5() coïncident ou pas.
++
Merci pour ces deux solutions. Je penserai donc à cette solution.
