Voilà, je viens de suivre une discussion intéressante sur les forums jeuxonline (à propos du hack d'une cinquantaine de comptes).
Durant les débats, il a été expliqué que le système de gestion des cookies avait été amélioré pour les membres de l'équipe. L'adresse IP et des infos sur le navigateur sont stockées dans le cookie, outre le mot de passe crypté et l'userid. A chaque connexion, ces infos sont vérifiées. En cas de discordance (IP non fixe, changement de PC ou de navigateur), l'utilisateur doit à nouveau s'identifier.
Je trouve ce système très intéressant. Il permettrait de sécuriser un peu mieux certains comptes. Savez-vous s'il est possible de trouver un hack avec de telles fonctionnalités ?

Ce système semble intéressant en effet ... ça rejoindrait un peu ma petite idée (http://forum.vbulletin-fr.org/showthread.php?s=&postid=17407#post17407) ...

Da manu c pas la peine de faire install dyndns a tes membre suffit de check leur IP a la connexion et voila

Provient du message de WaZa
Da manu c pas la peine de faire install dyndns a tes membre suffit de check leur IP a la connexion et voila

et tu recoupes comment si l'intrus est dan la même ville ??

ki dit meme ville dit pas forcement meme mask et meme IP

Apres c klr ke si les types sont voisins et kil ont le meme routeur de base, le meme FAI bah voila c mort mais bon apres tu devient la guestapor aussi

Sinon ça fonctionne tres bien comme methode

je ne comprend pas bien ... en France nous sommes sous ip flottantes: par exemple, wanadoo a des masks de 80.*.*.*, 81.*.*.*, 193.*.*.* et 217.*.*.* ... si deux gars sont dans la même ville avec le même FAI, il est impossible de les différencier si ils utilisent le même compte ... non?

Au fait, je ne suis pas la gestapo, je cherche juste un système fiable de check de logins .. c tout ;)

si Da Manu par les mask tu peux les differencier...
par exemple le mien
AMontsouris-108-1-23-67.w217-128.abo.wanadoo.fr
Qui dit meme ville dit pas forcement meme routeur donc meme mask donc avec ça tu peux les différencier

tjs pareil lol avec un riske moindre a moins ke els type habite a coté l'un de l'autre mais bon faut aussi ce dire ke c pas t ous les jours ;)

tu veux dire en fait faire un check sur le FAI + "AMontsouris-108-1" (dans ton cas) ? ... ça serait pas mal effectivement et ça marcherait bien je pense ... quid des autres FAI?

Pour Free par exemple on peut avoir pour la même personne:
lns-p19-16-82-65-110-111.adsl.proxad.net
lns-th2-3-82-64-37-45.adsl.proxad.net
donc apparement ce n'est pas le même routeur ...

Idéalement, il faudrait avoir la cartographie (les masks) de tous les FAI ;)

Merci pour vos idées, ça va me faire avancer dans la réalisation d'un éventuel hack sur ce sujet (pas prévu avant un moment). Je pense que combiner les renseignements précédents et des infos sur le navigateur utilisé (et l'OS) peut fournir de manière satisfaisante le moyen d'identifier un utilisateur. Ce sera temporaire, j'en conviens, en l'absence d'ip fixe, mais ça permettra de sécuriser un peu mieux un forum d'entreprise à accès restreint.

Provient du message de Da Manu
tu veux dire en fait faire un check sur le FAI + "AMontsouris-108-1" (dans ton cas) ? ... ça serait pas mal effectivement et ça marcherait bien je pense ... quid des autres FAI?

Pour Free par exemple on peut avoir pour la même personne:
lns-p19-16-82-65-110-111.adsl.proxad.net
lns-th2-3-82-64-37-45.adsl.proxad.net
donc apparement ce n'est pas le même routeur ...

Idéalement, il faudrait avoir la cartographie (les masks) de tous les FAI ;)

vi c exactement ça lol
en gros le membre s'inscrit bah tu lui check ces infos et apres t'as plus ka les inserez dans le profil du gars

en fait pour le AMontsouris-108-1-23-67.w217-128.abo.wanadoo.fr ça check si quant le type se connecte si ya bien le "AMontsouris" et le "abo.wanadoo.fr" puiske le 108-1-23-67.w217 est variable
ensuite pour mamadoo tout le monde c ke les ip commence forcement soit pas 80, 81, 193 ou 217
Si c pas bon tu lui envoit un http 403 unauthorized de mémoire c ça si je dit pas de betise et paf le type se retrouve comme un couillon
Donc en checkant tout ça, ba hdeja tu limites les magouille

Tu fait ça pour chack user et tu le couple avec un htaxx perso avec checkage d'ip aussi et log des IP, et avec le hack ki oblige les membres a changer de password tous les X jours, et bah je peux te dire ke ça marche très très bien lol, enfin perso c ce ke moi g fait lol et depuis ya pas eu de pb de securité

Sophocle si t'as besoin d'aide pour coder le hack esite pas ;)

Ca devrait aller, il faudra juste que je trouve les deux heures pour faire ça. Par contre, à mon avis, saisir l'ip dans le profil n'est pas nécessairement la bonne solution car ça imposerait à l'utilisateur de toujours se connecter avec le même PC et de contrôler les ip de tous les FAI de manière régulière.
Ma solution consiste à imposer la réidentification de l'utilisateur à chaque fois qu'il change de bécane ou d'ip. Ca permettrait déjà un renforcement de la sécurité. Vous me direz : autant décocher l'option naviguer avec les cookies et passer par les sessions. Seulement avec ce système, il faut sans arrêt se réidentifier et quand on consulte régulièrement un forum comme moi, ça devient vite barbant ;)

bah en gros ton systeme ça empeche pas les steal de compte ou les multi user derière un compte donc nivo secu c pas des mass top

tout en sachant ke si le gars se connecte de 2-3 ip différentes, rien en t'empeche de lui ocller 2-3 ip dans son profil