Mot de passe et redirection
Le
Denis Beauregard
Bonjour,
Est-ce une illusion ou bien est-ce que beaucoup de sites qui
demandent un mot de passe utilisent aussi une redirection ?
Par exemple, mot de passe saisi sur la page A, balise <form>
menant à la page B et si le mot de passe est accepté, on
redirige vers la page C.
Le but de ma question : j'ai déjà fait un site web avec une base
de données avec mot de passe et j'avais eu beaucoup de difficulté
à ne pas ramener la page originale avec le mot de passe déjà
saisi (ou en d'autres mots, si je vais sur une bibliothèque publique,
quelqu'un pouvait utiliser mon compte en ramenant la page initiale).
Je vais peut-être refaire un tel système et je voudrais savoir quelles
sont les meilleures méthodes pour ces mots de passe. Celle que j'avais
retenue consistait à placer un compteur caché sur la page de saisie et
à invalider la tentative d'entrée sur le site si le compteur n'est
pas à 1.
Denis
Est-ce une illusion ou bien est-ce que beaucoup de sites qui
demandent un mot de passe utilisent aussi une redirection ?
Par exemple, mot de passe saisi sur la page A, balise <form>
menant à la page B et si le mot de passe est accepté, on
redirige vers la page C.
Le but de ma question : j'ai déjà fait un site web avec une base
de données avec mot de passe et j'avais eu beaucoup de difficulté
à ne pas ramener la page originale avec le mot de passe déjà
saisi (ou en d'autres mots, si je vais sur une bibliothèque publique,
quelqu'un pouvait utiliser mon compte en ramenant la page initiale).
Je vais peut-être refaire un tel système et je voudrais savoir quelles
sont les meilleures méthodes pour ces mots de passe. Celle que j'avais
retenue consistait à placer un compteur caché sur la page de saisie et
à invalider la tentative d'entrée sur le site si le compteur n'est
pas à 1.
Denis
Moi j'ai l'impression que bp de sites redirigent à toréhalarigo !
Ya même pas besoin de form(s) pour que mon Fx gueule qu'on veut
rediriger la page (ou je n'sais quoi) ! ! :-((
why ?
si accepté, B c'est pas si mal, non ?
sinon, hop! c'est A avec un avertissement, non ?
Sans BdD (est-ce important ?)
perso, mes navigateurs ne font pas de bêtise et le mot-de-passe est
effacé au retour sur la page
démo :
(bien entendu le formulaire n'y est pas envoyé à lui-même)
non testé IE ! ! !
(indice: --
Stéphane Moriaux avec/with iMac-intel
fr.comp.infosystemes.www.auteurs:
Mon navigateur me dit plutôt quand on me redirige vers un autre site
et pas vers une autre page.
En théorie, oui. Mais, quand je développais ce site, vers 2006,
j'utilisais il me semble Seamonkey ou la suite Mozilla et le
mot de passe était encore là quand je revenais à la page où le
mot de passe avait été saisi. Je ne me rappelle pas si c'était
avec SM ou IE (je développais sur SM mais testais sur IE 5), mais
le problème était réel.
Toutefois, je dois avouer que je ne me rappelle pas du contexte car
cela n'arrivait pas tout le temps.
L'application que j'avais développée était une BDD pour les adhérents
d'une association. Depuis, j'ai développé d'autres BDD mais sans avoir
à gérer les mots de passe. J'ai en tête 2 applications et je voudrais
m'assurer que le mot de passe n'est pas récupérable par l'historique
du navigateur. Je n'ai pas encore d'intention ferme mais je ne fais
que cogiter 2 projets possibles, dont un pourrait se faire cet été.
Euh, avec SM 2.7.2, on a le comportement suivant :
mot de passe saisi
bouton envoyer
mot de passe affiché
flèche gauche du navigateur, champ vide
flèche droite du navigateur, le mot de passe est affiché
Essai avec le site que j'ai développé et qui a été repris (et modifié)
par un autre sans me consulter sur l'utilité du fichier inclus dans le
index.php...
je ferme la session
saisie du mot de passe depuis la page d'accueil
arrivée sur le site
flèches gauche et droite
pas de changement
(donc, comme ton site)
Essai sur paypal avec Seamonkey
saisie du mot de passe
arrivée sur le site
flèche gauche - le document est expiré et ce n'est pas la même page
:: donc, on a une page intermédiaire
mais flèche gauche de nouveau, et la page interne est active (j'ai
cliqué sur un lien)
donc, ce n'est pas parfait (l'utilisateur a l'impression que la
session a été expirée, ce qui est faux)
Essai sur Google
flèches gauche et droite - un peu différent mais la session est
conservée. Page de redirection (on voit un "loading" quelques
secondes).
En général, donc, entre la saisie et l'affichage, il y a une page
intermédiaire.
Denis
Je n'en sais rien mais j'ai comme l'impression que les navigateurs du
jour savent très bien "oublier" les MdP, que l'on ne les reverra pas par
l'historique
oui, car là c'est ce que fait le fichier-moteur qui "analyse" le
formulaire : afficher les champs (leurs noms et valeurs) transmis
voilà, on revient sur le fichier d'envoi
... qui a "oublié" le MdP
en effet : on revient sur le fichier d'affichage
(qui se moque de savoir si c'est un MdP ou pas)
heu ... là ... il n'a pas voulu le faire comme ça, j'ai dû cliquer le
lien de rafraichissement
c'est une page (de PayPal) ?
ou bien une page servie par le logiciel ?
on ne sait d'où elle sort
Mon Fx me dit :
« Le document demandé n'est plus disponible dans le cache de Firefox. »
Manifestement ... c'est un affichage propre à Fx
Il devait il y avoir un timeOut dans les metas et/ou en-têtes ...
Là j'ai rien compris
... moi je reviens sur la page où je peux tenter de me connecter.
La page interne je la ré-obtiens par le bouton-flèche-droite.
Oui, peut-être bien ...
pas compris de quelle "session" tu parles chez Google ...
Oui, puisqu'on passe de http en https, mais ...
pas que - pas que !
pour PayPal, tout un tas de cookies en plus comme celui "login-email"
par exemple qui semble conservé la semaine.
D'autres, juste le temps de la session
--
Stéphane Moriaux avec/with iMac-intel
Le Tue, 21 Feb 2012 01:47:05 +0100, SAM
fr.comp.infosystemes.www.auteurs:
Mon expérience me dit le contraire, mais sur des navigateurs d'au
moins 5 ans. Comme une partie de ma clientèle cible pourrait
utiliser des vieux PC (je connais une bibliothèque spécialisée dont
la moitié des PC est en Windows 98, ceci en 2012), j'aime mieux
savoir d'avance ce que font les autres.
Le site de ma banque invalide la session quand on fait la flèche
à gauche. Avec la flèche à droite, la session n'est plus valide.
En fait, cela se fait en javascript. Il y a d'abord un message
pour confirmer que l'on veut vraiment quitter la page de cette
façon, puis un message disant que le document est expiré. Et si
on fait la flèche à droite, la session n'est plus active. À mon
avis, c'est un bon système pour la flèche à gauche, mieux que
celui de Paypal (ce qui me surprend).
Oui, c'est une méthode possible.
Avec Seamonkey sur Windows 7, la session n'a pas été terminée par le
retour en arrière. Je peux donc voir le contenu de mon compte Paypal.
Avec le site de ma banque, la session serait terminée et je ne
pourrais rien voir du contenu interne de mon compte.
Pour les services internes de Google, comme gmail, adsense, etc.
Google offre un grand nombre de service, comme Yahoo et d'autres
sites du genre, et plusieurs demandent une inscription (il y a un
lien "Connexion").
Le cookie doit jouer le même rôle que mon compteur : prouver que l'on
a déjà envoyé le mot de passe et donc que le mot de passe doit être
effacé (et pas seulement caché) et la session désactivée.
Denis
ça ne vaut que ce que ça vaut, juste mes observations persos avec des
navigateurs récents suite à tes idées d'expérimentations.
Pas essayé sur le site de ma banque mais là la session on la quitte
volontairement (y a un bouton) ou sans doute si on n'y fait rien pendant
trop longtemps
Oui, OK
Je dois manquer de retorditude ... pas vu de trucs qui m'ont semblé louches
Heu ... mon mauvais ADSL doit être trop rapide ?
J'ai comme l'impression qu'il y a en a
- un pour le pseudo (adresse mail) et gardé qques jours
- un autre qui serait un Nº tiré au hasard, le temps de la session,
évitant de promener le MdP de page en page ou dans les cookies
ou on n'saizou sur l'ordi ou même le serveur ou la BdD
... à la limite, pas grave si le cookie n'est pas effacé en fin de
session, de toutes façons à ce moment là il n'a plus de valeur
--
Stéphane Moriaux avec/with iMac-intel