[PHP] raccourcis avec identifiant de mot de passe ?

[fraid26]

Bonjour à tous !

Je propose à mes clients un accès à des logiciels en SaaS.
Par soucis d'efficacité et de simplicité, j'aimerais leur proposer une connexion plus rapide en leur donnant la possibilité d'enregistrer un lien qui contient leur informations de connexions.

Pensez vous que cela pose un problème de sécurité ?

J'utilise des mots de passes cryptés, pensez vous qu'il est mieux de les enregistrer dans le lien en cryptés ou non cryptés ?

Merci d'avance pour vos idées !

Frédéric

 

[Blount]

Bah, c'est simple, n'importe qui ayant accès à cette adresse aura la possibilité de se connecter.

C'est comme avoir un coffre fort et se promener avec le code dans les poches.

 

[fraid26]

oui je pense bien qu'il y a un soucis de sécurité à ce niveau, mais :

comment les autres personnes pourraient avoir accès à cette adresse ? (http_referer par exemple ?!)

peut on contourner cela ?

Merci pour vos idées !

 

[spout]

Il faut générer un token avec durée de validité.
Ex: Mappy Connect: http://connect.mappy.com/fr/ajax/doc/token

 

[Julia41]

oui je pense bien qu'il y a un soucis de sécurité à ce niveau, mais :

comment les autres personnes pourraient avoir accès à cette adresse ? (http_referer par exemple ?!)

peut on contourner cela ?

Merci pour vos idées !

Tu peux autoriser ce lien facilement en créant des ACL : la personne se connecte dans son pannel, tu lui proposes d'autoriser des IPs. Généralement les boites ont des IP fixes.
Tu laisses la connexion par mot de passe possible de "partout" (après ce système d'ACL peut être pas mal).

Exemple simple, sur mon petit site Internet, je me base (pour mon authentification) sur mon IP et mon user agent.