|
Titre: j'y pense Posté par: JeZuS sur 04 Juillet 2006 à 13:17:31 l'un des objectifs du site est l'aspect secure qu'il doit fournir
de ce fait, toute information susceptible d'informer un eventuel mechant est à éviter. Le fait que l'on utilise comme nom de user dans le forum le username du site ssofast, permet ensuite de pouvoir utiliser un bruteforce et eventuellement de se connecter sur le compte utilisateur, non ? Titre: Re : j'y pense Posté par: iop sur 04 Juillet 2006 à 16:43:33 Effectivement, on peut connaitre le nom d'utilisateur de SSOFast, mais pas son "mot de passe" de connection ni son "code de securité"
Donc, pour un mechant qui voudrait acceder au données securisées, il devra utiliser 2 fois une brute force. C'est pour cela qu'il vaut mieux utiliser un "code de securité" très difficile à trouver et assez long pour qu'avec une brute force, cela soit impossible a trouver! Par exemple, moi, je peut avoir acces a tous vos liens, mais comme je ne connais pas votre "code de securité", cela ne me sert à rien! Je ne peut pas decoder vos données! Sinon, comment attribuer un nom d'utilisateur pour le forum qui soit different de celui de SSOFast? Il ne faut pas que ce soit l'utilisateur qui le choisisse, sinon il pourrait utiliser le nom qu'un autre utilisateur aurait voulu! Ex : "iop" de (SSOFast) choisi le nom "Nico" pour le (Forum) maintenant "Nico" de (SSOFast) doit absolument utiliser un autre nom pour le (Forum) que "Nico"... :( Au pire, pour compliquer un peu, je peut utiliser le nom d'utilisateur de SSOFast mais en majuscule pour le forum (ou en minuscule)! ::) Titre: Re : j'y pense Posté par: iop sur 04 Juillet 2006 à 16:52:18 De plus, sur la page de connection, au bout de 3 erreures consecutives, la page d'oublie de mot de passe s'affiche!
Et au bout de 10 erreures consecutives, le compte de l'utilisateur est desactivé! Donc, une brute force ne peut pas fonctionner pour trouver le mot de passe de connection! ;) D'ailleur, pour ce system, j'avais pensée a autre chose: Actuellement : -3 erreures -> demande email (oublie de mot de passe) -10 erreures -> desactivation du compte Ce que j'ai pensé etait: -3 erreures -> demande email -10 erreures -> reinitialisation du mot de passe avec envoie d'un email à l'utilisateur (comme avant mais on ne demande pas, on l'oblige à le faire) -13 erreures -> desactivation du compte ::) Titre: Re : j'y pense Posté par: JeZuS sur 04 Juillet 2006 à 18:14:50 Dans la mesure ou tout l'interet du site repose sur l'encodage des donnees,
effectivement notre dernier (ou unique, si on veut) verrou de securite, c'est la pertinence de la clef que tu auras choisi. A priori, je suis un utilisateur mongol, je fais un clef simple qui se pete "relativement" vite, dans la mesure ou j'ai l'algo d'encodage et une clef comprise entre 5 et 10 cars. De fait, notre premier verrou de securite, c'est notre couple login/password. Disposer du login publiquement, c'est deja offrir un petit levier sur la mecanique. Alors apres forcement, ok pour le mecanisme de desactivation bien que ca devienne un potentiel abuse pour leser un utilisateur (que ce soit par la modif de son mot de passe ou par la desactivation de son compte), mais on repond au probleme du petit levier en rajoutant un mecanisme en face, sans retirer le levier lui meme. Je ne connais pas ton process de creation automatique de compte sur ton board mais si on se base sur la notion login name (pour se connecter) et display name (nom affiché dans les threads) qui est une notion courante des boards, on peut peut etre generer le compte avec le login name du board identique au login name ssofast, qui reste secret, on genere un display name a la volee, du genre UserXYZ, et on autorise dans le profil la modification du display name. Apres je suis d'accord avec toi, hein, si je suis client yahoo, le nom de mon login va se retrouver partout en public, et offre un point d'entree non negligeable, mais comme c'est du yahoo, effectivement l'interet est faible. En revanche, tu vas pas le voir souvent en public le login perso d'un compte paypal ? Titre: Re : j'y pense Posté par: iop sur 04 Juillet 2006 à 22:16:13 Ha! Ben voilà! Dis comme ça!.... :P
Bon, j'ai donc rajouté un champ dans "Mon Compte" de SSOFast pour modifier le nom d'affichage du Forum! ;) Par contre, je fais un test ou pas, pour savoir si le nom est déjà utilisé ou pas? Parce que pour l'instant on peut modifier son "nom d'affichage" et avoir le même qu'un autre.... ::) P.S.: pour obliger les utilisateurs à choisir un nom pour le forum, lors de l'inscription, par defaut c'est le MD5 du nom qui est utilisé! :P ex : f71dbe52628a3f83a77ab494817525c6 ou alors, je rajoute un champ lors de l'inscription mais j'vais manquer de place..... Titre: Re : j'y pense Posté par: JeZuS sur 05 Juillet 2006 à 09:05:59 Je comprends pas trop ton souci concernant le display name ?
C'est qu'il y a pas de check sur l'unicite du nom, c'est ca ? Si c'est le cas, effectivement, faut checker en cas de modif de nom. Pourquoi faire si complique a la generation du login ? "user"+idunique+delta arbitraire ca devrait le faire non ? genre User1018 ? Et puis bon, ca reste toujours dans le cadre de la discussion hein :) Moi, je voyais plus ca comme ajout a la todo list :) Titre: Re : j'y pense Posté par: Presse Puree sur 05 Juillet 2006 à 16:10:42 Ouais, c'etait peut etre super urgent comme feature, mais bon maintenant que c'est fait :), on va en profiter...
Titre: Re : j'y pense Posté par: iop sur 05 Juillet 2006 à 18:41:47 Bon, ok! un MD5 etait un peu bourrin....
Bon, du coup j'utilise la date et l'heure d'inscription! Sans le mot "User", j'aime pas! :P Ex : Une inscription faite le 5 juillet 2006 à 18h39m15s aura comme nom d'utilisateur pour le forum : 60705183915 ;D Et j'ai rajouté un test lors de la modification du nom et aussi pour l'email (l'email etait testé lors de l'inscription mais pas apres....) |