authentification questions ?

[pssinjaune]

Bonjour,

J'ai besoin de vos conseils eclairés,

J'ai dev un module d'authentification sur un site.

Actuellement,
je stocke en session
Le login, le password et un flag qui a pour valeur true ou false
true quand l'utilisateur est authentifier
false s'il ne l'est pas

Sur les pages qui nécessitent d'etre authentifier je me contente de vérifier le flag,
Je ne vérifie plus le couple login/password
Cela m'évite de faire appel a la bdd a chaque fois.

Est ce que cette methode est correcte ?
Faut il proceder a une verif pour chaque page du couple login/password et donc faire appel a la bdd

De maniere generale,
Est il possible a un utilisateur de voir les infos strocker en session ?
Si oui, peut il les simuler ou modifier et donc mettre le flag a true et se balader où il le souhaite sans jamais avoir eu besoin de s'identifier ?

merci d'avance pour vos reponses car j'ai un petit doute sur la securité de mon systeme là d'un coup

[spout]

La méthode à l'air correcte, les données de session se trouvent sur le serveur, il me semble que c'est fréquent de stocker les données du membre loggué en session.
Par contre tu peux y ajouter un finger printing basé sur le USER AGENT à la session pour y ajouter un peu plus de sécurité:
http://shiflett.org/articles/session-hijacking

[pssinjaune]

merci pour ta reponse,

Apres lecture du liens, j'ai mis en place le fingerprint.
Ca m'a pris 2 min et si ca peut ameliorer la securité, je vais pes m'en priver

Merci encore, grace a toi je me coucherais moins bete ce soir

[nickargall]

J'ai souvent eue t lu le conseil de ne pas stocker le password dans une variable de session.

[Haroeris]

Oui vaut mieux ne pas le mettre en session : C'est inutile d'une part et dangereux d'autre part : suffit qu'une faille permettent d'afficher une variable et pouf le mot de pass apparait (et même crypté, ca peut être cassé par force brute).
Alors mieux vaut ne pas tenter le diable.