Même encrypté, le cookie pourra être intercepté (pensons au wifi) et pourrait servir à se faire passer pour un autre utilisateur. Cette extension Firefox le démontre bien: https://github.com/codebutler/firesheep#readme
Tout à fait. Le but de cet article était purement pour la connexion et non la suite. Si nous prenons l’exemple de Facebook, il amène l’utilisateur en HTTPS et ensuite lui donne un id de session qui est transmit par cookie sur HTTP à toutes les requêtes. Cet article est simplement pour la protection du mot de passe lorsque nous ne sommes pas en HTTPS au moment de la connexion.
Pour le id de session par la suite, j’ai une autre idée, mais c’est pour un autre article
[...] 2011/07/07 – La session sécurisée Pour faire suite à l’article « Comme se connecter sécuritairement sans HTTPS« , voici comment avoir une session sécurisée. Le [...]
Même encrypté, le cookie pourra être intercepté (pensons au wifi) et pourrait servir à se faire passer pour un autre utilisateur. Cette extension Firefox le démontre bien:
https://github.com/codebutler/firesheep#readme
Une chance qu’on a aussi http://www.zscaler.com/blacksheep.html
Tout à fait. Le but de cet article était purement pour la connexion et non la suite. Si nous prenons l’exemple de Facebook, il amène l’utilisateur en HTTPS et ensuite lui donne un id de session qui est transmit par cookie sur HTTP à toutes les requêtes. Cet article est simplement pour la protection du mot de passe lorsque nous ne sommes pas en HTTPS au moment de la connexion.
Pour le id de session par la suite, j’ai une autre idée, mais c’est pour un autre article
[...] 2011/07/07 – La session sécurisée Pour faire suite à l’article « Comme se connecter sécuritairement sans HTTPS« , voici comment avoir une session sécurisée. Le [...]