Mot de passe et redirection

5 réponses
Avatar
Denis Beauregard
Bonjour,

Est-ce une illusion ou bien est-ce que beaucoup de sites qui
demandent un mot de passe utilisent aussi une redirection ?

Par exemple, mot de passe saisi sur la page A, balise <form>
menant à la page B et si le mot de passe est accepté, on
redirige vers la page C.

Le but de ma question : j'ai déjà fait un site web avec une base
de données avec mot de passe et j'avais eu beaucoup de difficulté
à ne pas ramener la page originale avec le mot de passe déjà
saisi (ou en d'autres mots, si je vais sur une bibliothèque publique,
quelqu'un pouvait utiliser mon compte en ramenant la page initiale).
Je vais peut-être refaire un tel système et je voudrais savoir quelles
sont les meilleures méthodes pour ces mots de passe. Celle que j'avais
retenue consistait à placer un compteur caché sur la page de saisie et
à invalider la tentative d'entrée sur le site si le compteur n'est
pas à 1.


Denis

5 réponses

Avatar
SAM
Le 20/02/12 16:53, Denis Beauregard a écrit :
Bonjour,

Est-ce une illusion ou bien est-ce que beaucoup de sites qui
demandent un mot de passe utilisent aussi une redirection ?



Moi j'ai l'impression que bp de sites redirigent à toréhalarigo !
Ya même pas besoin de form(s) pour que mon Fx gueule qu'on veut
rediriger la page (ou je n'sais quoi) ! ! :-((

Par exemple, mot de passe saisi sur la page A, balise<form>
menant à la page B et si le mot de passe est accepté, on
redirige vers la page C.



why ?
si accepté, B c'est pas si mal, non ?
sinon, hop! c'est A avec un avertissement, non ?

Le but de ma question : j'ai déjà fait un site web avec une base
de données avec mot de passe et j'avais eu beaucoup de difficulté
à ne pas ramener la page originale avec le mot de passe déjà
saisi




Sans BdD (est-ce important ?)
perso, mes navigateurs ne font pas de bêtise et le mot-de-passe est
effacé au retour sur la page

démo :
<http://stephane.moriaux.pagesperso-orange.fr/truc/formform>
(bien entendu le formulaire n'y est pas envoyé à lui-même)

non testé IE ! ! !





(indice: <http://flagada.fr/?p'6>)
--
Stéphane Moriaux avec/with iMac-intel
Avatar
Denis Beauregard
Le Mon, 20 Feb 2012 18:28:59 +0100, SAM
écrivait dans
fr.comp.infosystemes.www.auteurs:

Le 20/02/12 16:53, Denis Beauregard a écrit :
Bonjour,

Est-ce une illusion ou bien est-ce que beaucoup de sites qui
demandent un mot de passe utilisent aussi une redirection ?



Moi j'ai l'impression que bp de sites redirigent à toréhalarigo !
Ya même pas besoin de form(s) pour que mon Fx gueule qu'on veut
rediriger la page (ou je n'sais quoi) ! ! :-((



Mon navigateur me dit plutôt quand on me redirige vers un autre site
et pas vers une autre page.

Par exemple, mot de passe saisi sur la page A, balise<form>
menant à la page B et si le mot de passe est accepté, on
redirige vers la page C.



why ?
si accepté, B c'est pas si mal, non ?
sinon, hop! c'est A avec un avertissement, non ?



En théorie, oui. Mais, quand je développais ce site, vers 2006,
j'utilisais il me semble Seamonkey ou la suite Mozilla et le
mot de passe était encore là quand je revenais à la page où le
mot de passe avait été saisi. Je ne me rappelle pas si c'était
avec SM ou IE (je développais sur SM mais testais sur IE 5), mais
le problème était réel.

Toutefois, je dois avouer que je ne me rappelle pas du contexte car
cela n'arrivait pas tout le temps.

Le but de ma question : j'ai déjà fait un site web avec une base
de données avec mot de passe et j'avais eu beaucoup de difficulté
à ne pas ramener la page originale avec le mot de passe déjà
saisi




Sans BdD (est-ce important ?)



L'application que j'avais développée était une BDD pour les adhérents
d'une association. Depuis, j'ai développé d'autres BDD mais sans avoir
à gérer les mots de passe. J'ai en tête 2 applications et je voudrais
m'assurer que le mot de passe n'est pas récupérable par l'historique
du navigateur. Je n'ai pas encore d'intention ferme mais je ne fais
que cogiter 2 projets possibles, dont un pourrait se faire cet été.

perso, mes navigateurs ne font pas de bêtise et le mot-de-passe est
effacé au retour sur la page

démo :
<http://stephane.moriaux.pagesperso-orange.fr/truc/formform>
(bien entendu le formulaire n'y est pas envoyé à lui-même)

non testé IE ! ! !



Euh, avec SM 2.7.2, on a le comportement suivant :

mot de passe saisi
bouton envoyer
mot de passe affiché
flèche gauche du navigateur, champ vide
flèche droite du navigateur, le mot de passe est affiché

Essai avec le site que j'ai développé et qui a été repris (et modifié)
par un autre sans me consulter sur l'utilité du fichier inclus dans le
index.php...

je ferme la session
saisie du mot de passe depuis la page d'accueil
arrivée sur le site
flèches gauche et droite
pas de changement
(donc, comme ton site)


Essai sur paypal avec Seamonkey
saisie du mot de passe
arrivée sur le site
flèche gauche - le document est expiré et ce n'est pas la même page
:: donc, on a une page intermédiaire
mais flèche gauche de nouveau, et la page interne est active (j'ai
cliqué sur un lien)

donc, ce n'est pas parfait (l'utilisateur a l'impression que la
session a été expirée, ce qui est faux)


Essai sur Google
flèches gauche et droite - un peu différent mais la session est
conservée. Page de redirection (on voit un "loading" quelques
secondes).


En général, donc, entre la saisie et l'affichage, il y a une page
intermédiaire.



Denis
Avatar
SAM
Le 21/02/12 00:51, Denis Beauregard a écrit :
Le Mon, 20 Feb 2012 18:28:59 +0100, SAM
écrivait dans
fr.comp.infosystemes.www.auteurs:

m'assurer que le mot de passe n'est pas récupérable par l'historique
du navigateur.



Je n'en sais rien mais j'ai comme l'impression que les navigateurs du
jour savent très bien "oublier" les MdP, que l'on ne les reverra pas par
l'historique


démo :
<http://stephane.moriaux.pagesperso-orange.fr/truc/formform>



Euh, avec SM 2.7.2, on a le comportement suivant :

mot de passe saisi
bouton envoyer
mot de passe affiché



oui, car là c'est ce que fait le fichier-moteur qui "analyse" le
formulaire : afficher les champs (leurs noms et valeurs) transmis

flèche gauche du navigateur, champ vide



voilà, on revient sur le fichier d'envoi
... qui a "oublié" le MdP

flèche droite du navigateur, le mot de passe est affiché



en effet : on revient sur le fichier d'affichage
(qui se moque de savoir si c'est un MdP ou pas)


Essai sur paypal avec Seamonkey
saisie du mot de passe
arrivée sur le site



heu ... là ... il n'a pas voulu le faire comme ça, j'ai dû cliquer le
lien de rafraichissement

flèche gauche - le document est expiré et ce n'est pas la même page



c'est une page (de PayPal) ?
ou bien une page servie par le logiciel ?

:: donc, on a une page intermédiaire



on ne sait d'où elle sort

Mon Fx me dit :
« Le document demandé n'est plus disponible dans le cache de Firefox. »
Manifestement ... c'est un affichage propre à Fx

Il devait il y avoir un timeOut dans les metas et/ou en-têtes ...

mais flèche gauche de nouveau, et la page interne est active (j'ai
cliqué sur un lien)



Là j'ai rien compris
... moi je reviens sur la page où je peux tenter de me connecter.
La page interne je la ré-obtiens par le bouton-flèche-droite.

donc, ce n'est pas parfait (l'utilisateur a l'impression que la
session a été expirée, ce qui est faux)



Oui, peut-être bien ...

Essai sur Google
flèches gauche et droite - un peu différent mais la session est



pas compris de quelle "session" tu parles chez Google ...

conservée. Page de redirection (on voit un "loading" quelques
secondes).


En général, donc, entre la saisie et l'affichage, il y a une page
intermédiaire.



Oui, puisqu'on passe de http en https, mais ...
pas que - pas que !
pour PayPal, tout un tas de cookies en plus comme celui "login-email"
par exemple qui semble conservé la semaine.
D'autres, juste le temps de la session


--
Stéphane Moriaux avec/with iMac-intel
Avatar
Denis Beauregard
Tout d'abord, merci pour les commentaires.

Le Tue, 21 Feb 2012 01:47:05 +0100, SAM
écrivait dans
fr.comp.infosystemes.www.auteurs:

Le 21/02/12 00:51, Denis Beauregard a écrit :
Le Mon, 20 Feb 2012 18:28:59 +0100, SAM
écrivait dans
fr.comp.infosystemes.www.auteurs:

m'assurer que le mot de passe n'est pas récupérable par l'historique
du navigateur.



Je n'en sais rien mais j'ai comme l'impression que les navigateurs du
jour savent très bien "oublier" les MdP, que l'on ne les reverra pas par
l'historique



Mon expérience me dit le contraire, mais sur des navigateurs d'au
moins 5 ans. Comme une partie de ma clientèle cible pourrait
utiliser des vieux PC (je connais une bibliothèque spécialisée dont
la moitié des PC est en Windows 98, ceci en 2012), j'aime mieux
savoir d'avance ce que font les autres.

démo :
<http://stephane.moriaux.pagesperso-orange.fr/truc/formform>



Euh, avec SM 2.7.2, on a le comportement suivant :

mot de passe saisi
bouton envoyer
mot de passe affiché



oui, car là c'est ce que fait le fichier-moteur qui "analyse" le
formulaire : afficher les champs (leurs noms et valeurs) transmis

flèche gauche du navigateur, champ vide



voilà, on revient sur le fichier d'envoi
... qui a "oublié" le MdP

flèche droite du navigateur, le mot de passe est affiché



en effet : on revient sur le fichier d'affichage
(qui se moque de savoir si c'est un MdP ou pas)



Le site de ma banque invalide la session quand on fait la flèche
à gauche. Avec la flèche à droite, la session n'est plus valide.

En fait, cela se fait en javascript. Il y a d'abord un message
pour confirmer que l'on veut vraiment quitter la page de cette
façon, puis un message disant que le document est expiré. Et si
on fait la flèche à droite, la session n'est plus active. À mon
avis, c'est un bon système pour la flèche à gauche, mieux que
celui de Paypal (ce qui me surprend).

Essai sur paypal avec Seamonkey
saisie du mot de passe
arrivée sur le site



heu ... là ... il n'a pas voulu le faire comme ça, j'ai dû cliquer le
lien de rafraichissement

flèche gauche - le document est expiré et ce n'est pas la même page



c'est une page (de PayPal) ?
ou bien une page servie par le logiciel ?

:: donc, on a une page intermédiaire



on ne sait d'où elle sort

Mon Fx me dit :
« Le document demandé n'est plus disponible dans le cache de Firefox. »
Manifestement ... c'est un affichage propre à Fx

Il devait il y avoir un timeOut dans les metas et/ou en-têtes ...



Oui, c'est une méthode possible.

mais flèche gauche de nouveau, et la page interne est active (j'ai
cliqué sur un lien)



Là j'ai rien compris
... moi je reviens sur la page où je peux tenter de me connecter.
La page interne je la ré-obtiens par le bouton-flèche-droite.



Avec Seamonkey sur Windows 7, la session n'a pas été terminée par le
retour en arrière. Je peux donc voir le contenu de mon compte Paypal.
Avec le site de ma banque, la session serait terminée et je ne
pourrais rien voir du contenu interne de mon compte.

donc, ce n'est pas parfait (l'utilisateur a l'impression que la
session a été expirée, ce qui est faux)



Oui, peut-être bien ...

Essai sur Google
flèches gauche et droite - un peu différent mais la session est



pas compris de quelle "session" tu parles chez Google ...



Pour les services internes de Google, comme gmail, adsense, etc.
Google offre un grand nombre de service, comme Yahoo et d'autres
sites du genre, et plusieurs demandent une inscription (il y a un
lien "Connexion").

conservée. Page de redirection (on voit un "loading" quelques
secondes).


En général, donc, entre la saisie et l'affichage, il y a une page
intermédiaire.



Oui, puisqu'on passe de http en https, mais ...
pas que - pas que !
pour PayPal, tout un tas de cookies en plus comme celui "login-email"
par exemple qui semble conservé la semaine.
D'autres, juste le temps de la session



Le cookie doit jouer le même rôle que mon compteur : prouver que l'on
a déjà envoyé le mot de passe et donc que le mot de passe doit être
effacé (et pas seulement caché) et la session désactivée.


Denis
Avatar
SAM
Le 21/02/12 22:43, Denis Beauregard a écrit :
Tout d'abord, merci pour les commentaires.



ça ne vaut que ce que ça vaut, juste mes observations persos avec des
navigateurs récents suite à tes idées d'expérimentations.

Avec le site de ma banque, la session serait terminée et je ne
pourrais rien voir du contenu interne de mon compte.



Pas essayé sur le site de ma banque mais là la session on la quitte
volontairement (y a un bouton) ou sans doute si on n'y fait rien pendant
trop longtemps

pas compris de quelle "session" tu parles chez Google ...



Pour les services internes de Google, comme gmail, adsense, etc.
Google offre un grand nombre de service, comme Yahoo et d'autres
sites du genre, et plusieurs demandent une inscription (il y a un
lien "Connexion").



Oui, OK
Je dois manquer de retorditude ... pas vu de trucs qui m'ont semblé louches

conservée. Page de redirection (on voit un "loading" quelques
secondes).







Heu ... mon mauvais ADSL doit être trop rapide ?

Le cookie doit jouer le même rôle que mon compteur : prouver que l'on
a déjà envoyé le mot de passe et donc que le mot de passe doit être
effacé (et pas seulement caché) et la session désactivée.



J'ai comme l'impression qu'il y a en a
- un pour le pseudo (adresse mail) et gardé qques jours
- un autre qui serait un Nº tiré au hasard, le temps de la session,
évitant de promener le MdP de page en page ou dans les cookies
ou on n'saizou sur l'ordi ou même le serveur ou la BdD
... à la limite, pas grave si le cookie n'est pas effacé en fin de
session, de toutes façons à ce moment là il n'a plus de valeur


--
Stéphane Moriaux avec/with iMac-intel