Bonjour.

Diminuer la durée d'une session pourrait en effet être une possibilité pour réduire le temps utilisable pour tenter de récupérer l'identifiant de quelqu'un. Je suis surpris que l'utilisation de l'adresse ip soit déprécié à cause de leur durée de vie : je ne savais pas qu'elles étaient changés si souvent.

La solution du jeton aléatoire peut être intéressante mais si j'ai bien compris la politique de Wims à propos des cookies est d'en laisser le moins possible (je n'en ai trouvé qu'un sur mon ordinateur). Cela permettrait quand même (j'ai peur de dire une grosse bêtise, mais bon, soyons fou... ) de rendre la recherche d'accès à un compte à une complexité quadratique (autrement dit, plus la peine d'essayer en une heure... ).

Une possibilité pour rendre la protection la moins contraignante possible serais, je crois :

— À la connexion, on note l'adresse ip de l'utilisateur dans une variable de session, on génère un jeton aléatoire que l'on note dans un cookie et dans une variable de session ;

— À chaque pages chargées, on vérifie si l'adresse ip est bien la même ;

— Si elle a été changée, alors on vérifie le contenu du cookies dans le on a noté le jeton ;

— Si le jeton n'existe pas ou n'est pas le bon : on est alors soit dans le cas où un utilisateur a changé d'adresse ip pendant la session et a désactivé les cookies, soit devant une tentative de piratage ; on affiche alors une fenêtre de connexion pour vérifier à nouveau le mot de passe.

En couplant les deux systèmes, on peut alors rendre la protection moins contraignante pour les utilisateurs et pourtant assez sûre (bien que ça dépende du pourcentage d'internautes ayant une adresse ip dynamique et ayant désactivé les cookies, ce dont je n'ai aucune idée).


Rémi Lapeyre