Cookie de connexion automatique : Se souvenir de moi?

WRInaute accro
Salut

Est-ce encore utile de mettre dans nos formulaires de connexion le fameux : se souvenir de moi? Avec gestion de connexion automatique via cookies.
Sachant que les navigateurs permettent de nos jours d'enregistrer nos infos de connexions.

Si c’est toujours utile comment gérer vous ces cookies?

Pour ma part je stocke en crypté : l'id, la date d'inscription du membre, sa clé d'activation (celle utilisée pour valider son compte) et la date de dernière connexion. Le mot de passe n'ai jamais stocké dans le cookie.

Inconvénient si l'utilisateur se connecte à partir d'un autre PC, son cookie sur son pc principal ne sera plus valide.

Autre solution, au lieu d'utiliser la date de dernière connexion, serait d'utiliser son user-agent. Le problème, c'est que la probabilité que le pirate utilise le même navigateur reste trop importante.

Et utiliser l'IP n'est pas envisageable avec les IP dynamiques.

Autre mesure de sécurité : les cookies de connexion automatique pour les administrateurs ne fonctionnent pas
 
WRInaute passionné
noren a dit:
Est-ce encore utile de mettre dans nos formulaires de connexion le fameux : se souvenir de moi? Avec gestion de connexion automatique via cookies.
Sachant que les navigateurs permettent de nos jours d'enregistrer nos infos de connexions.

Pour répondre à cette partie de la question, je dirais qu'il faut distinguer "Se souvenir de moi" de quelque chose comme "Garder ma session active". Dans le premier cas, il s'agit de préremplir les cases utilisateur et mot de passe, mais l'utilisateur doit quand même cliquer sur le bouton pour se connecter. Comme les navigateurs permettent de sauver les infos, pas très utile, s'il s'agit de ça et non pas d'une connexion automatique.
 
WRInaute accro
Je comprend la différence entre les 2 d'un point de vue technique, mais niveau utilisateur est-ce que c’est vraiment utile de conserver la session via les cookies, alors que les navigateurs permettent au moins de ne plus saisir notre login et mot de passe? je ne pense pas que ça soit trop gênant pour l'utilisateur d'avoir à cliquer sur "se connecter". Et c’est peut être un poil plus sécure non?

Le seul inconvénient, lorsqu'ils arrivent sur le site c’est qu'ils doivent penser à se connecter, ce qui n'est pas le cas avec la connexion automatique évidemment.

Que faites vous? gardez vous un "Se souvenir de moi?" et si oui comment gérez vous le cookie?
 
WRInaute accro
noren a dit:
Que faites vous? gardez vous un "Se souvenir de moi?" et si oui comment gérez vous le cookie?
Rien, le souci c'est pas les données que tu va utiliser ou comment tu va les crypter, le souci c'est le cookie ce qui reviens a laisser la clés de la maison cachée sous le paillasson ... :roll:
 
WRInaute accro
Je sais bien :| c’est bien pour ça que j'essaye de trouver la solution la moins à risque tout en améliorant le confort pour les utilisateurs. c'est désagréable d'avoir a chaque fois à se rappeler de son login et passe.
Quand on y réfléchit, pour qu'il y ai vraiment des risques il faut quand même qu'il y ai soit une faille XSS, soit qu'on est oublié d'interdire l'accès au cookie via javascript, soit qu'on ai enregistré un cookie sur un ordi public (et dans ce dernier cas, encore faut-il tomber sur une personne malveillante qui s’intéresse au site en question).

Conseillerais tu de ne pas utiliser la connexion automatique? et de laisser éventuellement les utilisateurs enregistrer leurs login et passe via le navigateur?

Si on regarde le forum de WRI, on a "se souvenir de moi". Y a t-il une clé sous le paillasson de WRI? :mrgreen: ou y a t-il une méthode plus viable que ces cookies que WRI utiliserait?

Sachant quand même que mes sites n'auront pas de données sensibles, et qu'il sera impossible de se connecter automatiquement pour un administrateur. Donc impossible de voler ou d'essayer de simuler un cookie administrateur.
 
WRInaute accro
noren a dit:
Conseillerais tu de ne pas utiliser la connexion automatique ? et de laisser éventuellement les utilisateurs enregistrer leurs login et passe via le navigateur ? ou y a t-il une méthode plus viable que ces cookies que WRI utiliserait ?
Bah je suis "vieille école" (triste constat :D ) je n'écris, n'enregistre, ne communique jamais un mot de passe. Dès qu'on m'en demande un je regarde suspicieusement la barre d'adresse (et parfois plus) Pourquoi ? car tous les jours et souvent plusieurs fois par jour je vide cache, trucs enregistrés, etc. etc. sur mon navigateur. j'ai même deux navigateurs car je n'aime pas surfer (a titre privé) en étant connecté sur google ou facebook par exemple qui sont réservés a des usages pro. Pour certains cas j'ai même tor d'installé te dire si j'aime pas que mes datas transpire trop.

Bref je ne coche jamais "rester connecté" ça ne m'est d'aucun usage même ma tablette android n'a jamais vu la couleur de mon login google (suis pas fou :D ). J'alune le wifi quand j'en ai besoin et le blu je sais plus quoi existe pas chez moi. :lol:

Oui c'est chiant de se connecter tous les jours en effet mais bon mon linux démarre en console ça fait 10 ans que je me tape un login mot de passe tous les jours j'ai même des config particulières qui me demandent de me déco et me reco avec un autre compte. Pour finir même mes gamins 5 et 7 ans tapent leur mot de passe pour se connecter a windaube ...Si ils ne ferment pas leur session en fin d'utilisation je leur bote le cul.

Les failles c'est l'utilisateur donc soit tu le forme soit tu aura une merde un jour c'est pas plus compliqué que ça.
 
WRInaute accro
Ouhla ça tourne à la parano là non? :mrgreen:
En même temps tu as bien raison, on est jamais trop prudent avec nos sites. c’est quand on se fait piraté ou qu'on rencontre des soucis divers et variés qu'on se rend compte qu'on aurait du être plus prudent. Et c’est une grossière erreur.

Si je comprend bien il n'y a aucune méthode sans cookies et/ou fiable si on souhaite utiliser la connexion automatique (se souvenir de moi) ?
Soit on fait sans, soit avec mais on prend des risques aussi minimes soient-ils?
 
WRInaute accro
Merci Spout :wink:
je vais regarder ça en espérant que je vais comprendre de quoi il retourne :mrgreen:
 
WRInaute accro
@spout : je suis tombé sur ce post ou tu parle également de finger printing

https://www.webrankinfo.com/forum/espace-membre-sessions-securisation-php-t ... 31998.html

Si je comprend bien tu ajoute la clé de sécurité suivante à ta session ou a ton cookie d'auto connexion :

Code:
<?php
$fingerprint = 'MySecretFingerPrintingKeyHoooohooo'.$_SERVER['HTTP_USER_AGENT'].$_SERVER['HTTP_ACCEPT_CHARSET'];
$fingerprint = md5($fingerprint.session_id());
?>

Code:
<?php
$_SESSION['fingerprint'] = $fingerprint;
?>

Mais le vol de session ou de cookie de connexion est sécurisé ici uniquement par le user agent? N'est-ce pas un peu trop léger? D'autant plus avec le duopole chrome et firefox qui se mettent à jour automatiquement. Donc pas si difficile de tomber sur un pirate qui utilisera le même navigateur ou qui saura essayer d'autres navigateurs.
Sauf si 90% de la sécurité se fait ici avec $_SERVER['HTTP_ACCEPT_CHARSET'], mais je n'ai pas compris à quoi ça servait réellement.

Quel autre élément côté navigateur à part l'ip et le user agent pourrait-on récupérer qui a plus de chance d'être stable mais plus aléatoire que le user agent (l'ip quant à elle n’est pas suffisamment stable)
 
WRInaute accro
C'était pour la session, mais ça peux très bien s'appliquer au cookies. C'est juste un "finger printing" qui empêche un peu plus le cookie hijacking.
 
WRInaute accro
oki merci, alors j'avais bien compris. De toute façon (pour les sites qui non pas de données à risque) la meilleur protection reste d'interdire les cookies de connections automatique pour les administrateurs du site. Qui sont surement les principales cibles.

Je pense que je vais utiliser le user_agent au lieu de la dernière date de connexion du membre. ça devrait suffire.
je vais integrer sur finger printing sur mes sessions et cookies :wink:
 
Discussions similaires
Haut