Crypter mot de passe dans une url

koukaratcha, le lundi 25 février 2002 à 10:20:15

Je développe un site Intranet avec des pages ASP et il y a une page qui est accésible par mot de passe et login.
Je passe ensuite ces paramètres dans l'URL pour la page suivante.
Je voudrais que le mot de passe soit masquer ou crypter.

Si qqc connait un scripte, merci d'avance..

Répondre à koukaratcha Signaler ce message aux modérateurs Aller au dernier message

1Ce message vous semble utile, votez !
Ce message ne vous semble pas utile, votez !
Signaler ce message aux modérateurs

NTVCM, le lundi 25 février 2002 à 10:31:46

Si tu remplis un formulaire pour entrer le pass, utilise la methode POST plutot que GET, les variables ne sont pas dans l'URL, donc plus de séurité!

Pour les récuperer, c'est

var = request("nom_du_champ")

@+
NTVCM

Répondre à NTVCM

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

koukaratcha, le lundi 25 février 2002 à 10:42:49

oui mais il faut que je garder ce mot de passe pour d'autres page et je ne veux pas utiliser des variables de session.

As tu une autre soluce STP ?

Répondre à koukaratcha

1Ce message vous semble utile, votez !
Ce message ne vous semble pas utile, votez !
Signaler ce message aux modérateurs

NTVCM, le lundi 25 février 2002 à 10:48:49

Je vois que les cookies ou une sauvegarde dans un fichier ou une base de données...

@+
NTVCM

Répondre à NTVCM

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

koukaratcha, le lundi 25 février 2002 à 10:52:14

Moi je pense à une fonction qui transforme la chaine de caractères en caractères aléatoires ?

Tu penses que c possible?

Répondre à koukaratcha

1Ce message vous semble utile, votez !
Ce message ne vous semble pas utile, votez !
Signaler ce message aux modérateurs

NTVCM, le lundi 25 février 2002 à 10:55:34

Le GET et le POST fonctionnent de la même manière, si tu as un code en GET qui tourne, en POST ça doit tourner aussi...

Pour ce qui est du cryptage, ça doit être faisable, je suis actuellement confronté au même problème (intranet en ASP, login/password, ...) mais avec le POST ça me suffit, en tout cas pour l'instant ;)

@+
NTVCM

Répondre à NTVCM

Ce message vous semble utile, votez !
Signaler ce message aux modérateurs

sebsauvage, le lundi 25 février 2002 à 17:00:42

Bouh... les enfants, un mot de passe dans l'URL ou dans le cookies ?
Très mauvaise idée.

Démonstration : quelqu'un est en train de se balader sur le site.
Je lance mon sniffer, je trouve le mot de passe chiffré dans l'URL ou dans le cookie => il me suffit de me rendre à la même adresse et je peux me balader sur le site en son nom !

Sécurité quasi-nulle... à partir du moment où on sait utiliser un sniffer.

Sur notre site de e-commerce, on fait comme cela:
Tout le site est en HTTPS (SSL over HTTP).
L'utilisateur se log sur le site (login/mot de passe) et reçoit un cookie contenant un numéro de session (et surtout pas le mot de passe).
On ne peut ainsi pas voler sa sessions (les URL et les cookies sont chiffrés par SSL).
Le seul moyen de lui voler sa session est de lui piquer son cookie sur sa machine (mais comme nous utilisons des cookies non-persistant, c'est impossible puisque le cookie n'est jamais écrit sur disque dur).

Ne *jamais* mettre le mot de passe dans l'URL ou dans le cookie, même chiffré.

Répondre à sebsauvage

Posez votre question Répondre