php et authentification par HTTP

Defy
PHP

Je voudrais avoir quelque informations sur l'authentification par http en php savoir si c'est vraiment securisé ou pas du tous.

J'utilise Slimframework depuis un moment maintenant et j'utilise les connexion HTTP pour me connecter a mon admins mais j'aimerais savoir si c'est quand meme bien sécurisé ou pas du tous.

6 réponses

Huggy
Réponse acceptée

@brokleen Non : envoyer le hash plutôt que le mp, c'est la même chose
@Defy pour la deconnection, tu as une solution ici

Famian

La connexion HTTP est securisée, c'est ce que tout le monde utilise, à commencer par Grafikart. avant de poser ta question, tu as dû fournir un mot de passe et ton email via un formulaire ? Après côté PHP et base de données, c'est à toi d'utiliser des algorithmes de cryptage. regarde du coté de sha512 pour plus dinfos et comment l'utiliser

Defy
Auteur

Oui ca c'est pas un problème pour l'authentification avec un Base de donnée.

En faite, pour mes travaux, je me base sur slimFramework et une authentification HTTP avec le mot de passe et le login enregistré dans ma config Slim pas en base de donnée. Voila a quoi ca ressemble.

$app->add( new \Slim\Middleware\HttpBasicAuthentication([
    "path" => "/admin",
    "realm" => "Protected",
    "users" => [
        "admin" => "admin",
    ],
]));

La vrai question que je me pose c'est est ce plus securisé d'avoir un mots de passe stocké en base de donnée et une connexion avec verif d'user en base ou alors depuis une connexion avec verification de mes logins et mot de passe dans la config Slim

edit: et la 2eme question que je me pose c'est comment effectuer une déconnexion HTTP. Paceque dans la connexion basique tous est en session et on clear la session pour se déconnecter ( je shematise vite fait hein! ) mais en HTTP je vois pas comment faire malgré mes rechercher

brokleen

Si tu veux vraiment ajouter une couche de sécurité supplémentaire hache ton pass avec javascript avant de l'envoyé.

Defy
Auteur

Merci beaucoup pour la solution :-) je vais tester ca des que je suis au taf merci!

brokleen

@Huggy euh négatif, si tu ne hash pas le mp il est envoyé en clair donc si cela fait une grosse différence dans le cas d'un serveur compromis. Cela peut être également dramatique si un virus de style sniffer est installé sur une machine qui se log. Je prend le cas de facebook, je pourrais développé un mini virus qui sniff la requête POST login de facebook, et oh facebook ne hash pas le mot de pass côté client. Il est essentiel de hashé le mot de passe en côté client aujourd'hui à moins d'avoir une confiance aveugle en ton serveur et dans les machines des utilisateurs.