Salut,
Pour un site web très sécurisé je me pose une question:
peut-on empecher IE (ou tout autre browser) de proposer de se "rappeler du mot de passe" pour la prochaine fois ou on viendra? C tres problématique niveau sécurité, si l'utilisateur se sert de cette option et se barre 5 minutes a la photocopieuse...
 
J'ai pensé à un formulaire en Flash mais je ne suis pas sur de mon coup, et c pas génial...
Vous en pensez quoi?
 
edit: résolu

Je crois que c'est tout à fait jouable pour IE. Pour Mozilla/Firebird (:hello: au passage ), ils ont un truc qui propose pratiquement à chaque fois Je dis "pratiquement" passke j'ai vu certains sites pour lesquels y avait pas de popup. Mais j'me rappelle pu lesquels

ca m'intéresse

un petit Flash peut être?
J'ai l'impression que du moment qu'on a du HTML/JS, Firebird donne toujours cette possibilité, et comme on ne peut interdire l'acces à Firebird (puisqu'il peut se faire passer pour IE ou autre), ca m'a l'air infaisable en HTML/JS.

et avec https ? moi il me semble que c'est tout à fait possible

https? amazon l'utilise par exemple, et pourtant je peux t'assurer que je ne m'identifie jamais dessus, Firebird remplit les champs pour moi dès que j'arrive sur la page.

Up?

salut,
 
tu es sur que Firebird/autre reussirait a remplir les champs sans cookies et avec des entetes du genre

comme le propose jagStang, https pourrait alors etre jouable.
 
Sinon, effectivement, passer par des trucs + lourds : Flash/applet java/n'importe quoi qui ne soit pas trop fortement couple au browser.

désactiver les cookies n'embete pas Firebird à ce niveau, il gère sa propre liste de passw/login au cas par cas.
avec ces entetes par contre j'en sais rien... J'essaierai ce soir

Tu utilises une authentification HTTP ou un simple formulaire ?
 
Idée : Si c'est un formulaire, tu peux par exemple générer aléatoirement le nom du champs de saisie pour que même si le browser le stocke, ben la fois suivante il ne le remplisse pas.

hmm, c'est pas bete, mais l'utilisateur risque d'etre perdu (ca sera pas des informaticiens).
Et si le nom du champs change, c pas forcément évident de récupérer sa valeur derrière.
 
Tu utilises une authentification HTTP ou un simple formulaire ? >> c pas encore fait, on est à la modélisation / spécifications

Tu fais un input hidden avec le nom du champs de saisie ( le nom de l'hidden ne variant pas lui) .

 
Pour les utilisateurs, c'est transparent !
 
C'est juste le name="" dans le <input type="password" qui est aléatoire.
Maintenant, il faut bien sûr avoir un moyen coté serveur, de connaitre ce nom de champs aléatoire.
Tu peux au choix, le garder en session, ajouter un champs caché au formulaire qui précise le nom du champs de password ou plus crad, travailler par défaut, c'est à dire tu as la variable du submit (s'il y en as un), celle du user, donc celle qui reste est le password.
 
C'est en quoi votre truc ?

oui pour le name j'avais compris en cours de post
c en ASP.

Reste plus qu'a tester, c'est juste une idée... Je sais pas si çà marche

 
C'est la meilleure idée selon moi en tout cas...
Et CA marche...

bin elle a un pb quand meme, il faut gerer ca avec le serveur derrière; et il faut creer les noms de sorte qu'ils soient utilisés pour la 1e fois (incrementation par ex, mais elle va etre enorme a force).
puis ca va creer des listes enormes si l'utilisateur retient toujours les passw

Tu peux générer un nom de champs d'une dizaine de caractères alpha facilement.
Pas besoin de se faire chier de savoir s'il a déjà été utilisé.
Les utilisateurs, vont pas insister quand ils verront que le login auto ne marche pas
Et même si le nom de champs revient, ce cera rare pour un utilisateur. Et même s'il à enregistré le MDP à chaque fois, un système aussi sensible se doit de :
1- Générer aléatoirement les MDP des utilisateurs au lieu de les laisser les choisir.
2- Changer de MDP périodiquement.
 
Si tu laisse les utilisateurs choisir les MDP et qu'ils ne changent pas, c'est pas la peine d'essayer de sécuriser l'accès !

bon au final, comme la solution Flash est pas terrible, je vais faire un champs password avec un nom "pass_xxx" où xxx est un nombre basé sur la date (en secondes depuis 1970 par ex ), et ce "pass_xxx" sera la valeur d'un champs caché (hidden). Ca peut que marcher.
 
Merci à tous
 
(ps mara's dad: oui le pass devra etre changé, par contre il sera choisi par l'utilisateur et soumis a validation automatique de complexité)

Bon alors j'viens de tomber sur ZE truc tout con
 
Dans le champ d'un formulaire, il suffit de foutre autocomplete="off" dans l'attribut de l'input.
Exemple : <input name="passoueurde" type="password" autocomplete="off">
Marche aussi d'une façon plus générale en l'appliquant directement dans le tag <form>
 
Plus d'infos : http://devedge.netscape.com/viewso [...] ompletion/

C'est cool ton truc, mais faut controler le navigateur.
Y'en a qui ne gèrent pas autocomplete="off"...

IE et Moz le supportent, c'est déjà une bonne partie des browsers

ah ouais, c'est bon à savoir, merci pour l'info

et est ce que ca passe la validation w3c ?

  IE 5+

Bizarrement, pas d'autocomplete dans les attributs de input ou form sur w3schools.com

hum c'est dommage, je vais quand meme tester des que j'ai le temps.

il est pas dans les specs de html 4.01 si je me gourre pas
http://www.w3.org/TR/html401/index/attributes.html
 
en même temps je ne pense pas que ce soit dans les normes html de préremplir un form, donc les browsers qui le font se sont peut être mis d'accord pour systématiquement inclure le autocomplete officieux.

En même temps, IE 4...
Et pis je crois que c'est aussi en voie de disparition (comme Netscape 4).

D'un autre côté, l'autocomplétion des browsers n'est absolument pas standard-compliant ; c'est même un trou de sécu en soi
Il serait d'ailleurs de bon aloi que les browsers possédant une fonction d'autocomplétion (à savoir IE 5/Moz et Moz-like/Opera 7) sachent interpréter le "autocomplete=off".

Bin pas Opera 7, apparemment