Securité au long de la connexion

Securité au long de la connexion - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Securité au long de la connexion (/showthread.php?tid=1615)

Pages : 1 2 3

Securité au long de la connexion - corentone - 21-08-2007

Bonjour! Encore une petite question pour vous tous les concepteurs Smile

Actuellement en train de coder mon jeu, je me pose une question sur la sécurité...

Lors de la connexion, je mets en variable SESSION l'id du joueur connecté...mais c'est tout.

Est-ce suffisant? Faites vous d'autres tests? Que mettez vous en session pour assurer la transition du joueur entre chaques pages?

Car j'ai entendu qu'il ne fallait mieux pas mettre le mot de passe en session car il pouvait etre intercepté...

Je pensais peut etre ajouter l'IP (et ainsi verifier qu'elle correspond bien à celle entrée dans le champs IP lors de sa connexion, cela eviterait le multicompte non?)

Merci de vos reponses a mes interrogations Smile

A bientot
Corentone

RE: Securité au long de la connexion - Sephi-Chan - 21-08-2007

Salut,

Faire passer le mot de passe par session est dangereux ? Où est le problème puisqu'il est inutile de le faire passer. Wink

Pour ma part, je ne fais jamais passer plus que l'id, puisqu'il suffit à toutes mes opérations.

Concernant l'utilité du stockge de l'IP, je n'en vois pas. L'utilisation de l'IP n'est pas une bonne protection contre les multi-comptes, il peut être intéressant de la stocker pour comparer. Le mieux reste de rechercher les transactions entre même joueurs, etc. Une fois qu'on a une idée, on peu recouper avec l'IP, ou d'autres informations.

C'est donc une sécurité qui se fait par couche.

Sephi-Chan

RE: Securité au long de la connexion - uriak - 21-08-2007

A ce propos j'apprécierais bien que l'un d'entre vous nous fasse part de son expérience (réussites et échecs) face aux tricheurs et utilisateurs de multicomptes... histoire de savoir si c'est un risque très présent, ce qu'il vaut la peine de faire ou pas...

RE: Securité au long de la connexion - Fidelcastor - 21-08-2007

En effet, il est bien inutile de transmettre un mot de passe ou nom de membre si celui ci est authentifier => L'id de session sera donc le seul lien utile pour transmettre les valeurs temporaire de l'utilisateur.

Citation :Est-ce suffisant? Faites vous d'autres tests? Que mettez vous en session pour assurer la transition du joueur entre chaques pages?

Pour ma part, je transmet énormément de chose en URL (pas forcement le mieux mais c'est un choix), comme par exemple la cible de la frame centrale qui sera différentes entre la page de login, de choix des aventures, du jeu lui même. Je transmet aussi le résultat de tableau pour le calcul des dommages lors de combat (mais c'est pas du tout conseillé).

Il faut se demander : Quelles sont les informations que j'ai besoin pour la page actuel? Ou trouver ces infos et comment les transmettre? Quelles infos je peux mettre en base pour les récupérer?

Pour l'IP [public] malheureusement elle est loin d'être unique pour chaque visiteur (pensé aux fonctionnaires des administrations qui 'visitent' vos jeux).

Edit : Pour uriak , regarde les posts
multicompte
lutte contre le multi

RE: Securité au long de la connexion - uriak - 21-08-2007

merci, Fidel Wink

RE: Securité au long de la connexion - corentone - 21-08-2007

Eh bien je vais laisser juste la transmission de l'ID...

@Fidel, tu n'y es pas, je parlais des informations d'authentification du joueur, pas des informations inherentes au jeu qui elles sont passées (chez moi) par POST ou GET...

Merci de votre aide. Si d'autres ont leur mot à dire, n'hesitez pas Wink

RE: Securité au long de la connexion - Sephi-Chan - 21-08-2007

Fidelcastor a écrit :Pour ma part, je transmet énormément de chose en URL (pas forcement le mieux mais c'est un choix), comme par exemple la cible de la frame centrale qui sera différentes entre la page de login, de choix des aventures, du jeu lui même. Je transmet aussi le résultat de tableau pour le calcul des dommages lors de combat (mais c'est pas du tout conseillé).

Là par contre ça doit être une usine à failles de sécurité.

Quand on fait passer une variable d'une page à l'autre (quelle que soit la méthode), il faut pouvoir vérifier si elle n'a pas été corrompue. A partir du moment où on peut garantir son intégrité, c'est bon.

Sephi-Chan

RE: Securité au long de la connexion - Globe - 21-08-2007

Cependant pour répondre à uriak, les multi-comptes sont la plaie du MMO peu importe la plateforme ou l'envergure du jeu... Sur un jeu comptant une 50 de membres en BETA j'avais déjà reperé 7 mecs qui avaient des multi... Il n'y à aucune sécurité sans failles, cependant en croisant les IPs (peu fiables) et les transactions, heures de connexion des joueurs là tu peux avoir un rapport à peu près cohérent... Sachant que pour un jeu populaire ça demande une organisation assez rigoureuse et un code relativement efficace... En fait ça tient à faire un code qui va te signaler les comptes qui se connectent dans une fourchette de temps relativement restreinte, avec des interactions inégales (par exemple un joueur donne tout son or à un autre) et possiblement la même IP... Mais réaliser un code qui va te faire une analyse fiable quotidienne de tous tes joueurs demande quand même pas mal de rigueur et de réflexion. Ceci sans prendre en compte les failles de sécurité que tous les jeux comptent... Tu peux toujours les réduire au minimum, mais il y aura toujours quelqu'un de capable de trouver une faille et de percer tes sécurités...

RE: Securité au long de la connexion - Fidelcastor - 21-08-2007

Citation :Tu peux toujours les réduire au minimum, mais il y aura toujours quelqu'un de capable de trouver une faille et de percer tes sécurités...

@Sephi-Chan
Je ne me cache pas les yeux, comme dit dans un autre sujet mon site ne contient aucune données personnelles aux joueurs. Les "pirates" peuvent bien refondre les variables pour gagner de l'argent ou des PVs, cela m'importe peu.
Ceci sans parler de la lourdeur que pourrait engendrer des mesures de sécurité excessive au détriment du gameplay...
Edit2 : Bref ton message une critique gratuite. :nonon:

Attention, ce faite n'est pas forcement valable dans tout les cas. Si vous avez déclarer vos impôts en ligne, vous verrez que même "le ministère des intérieures" doit passer par un certificat racine pour authentifier.

Note: Utiliser des expressions régulière Perl pour tester vos valeurs est une très bonne solution. Rapide et efficace quand bien construit.

RE: Securité au long de la connexion - denisc - 21-08-2007

Je reviens à la première question...
En session, je met l'ID ET le username, ce qui permet d'afficher sans accéder à la BD le nom du joueur connecté.

Pour les multicompte, il est également aisé de récupérer l'IP.
Un coockie à valeur unique sur le client, créé ou relu à l'affichage de la page d'accueil (avant connexion) et relié à cette IP est efficace, mais nécessite l'autorisation de poser un coockie chez le client. Si le coockie existe, on le relie à l'IP du client qui elle-même est reliée à l'id_user... on peut faire rapidement des recoupements de cette manière.
Ca permet de relier les machines entre-elles (un coockie par machine), la plage d'IP de ces machine, et les username utilisés sur ces machines.