Sécurité PHP - Reniflage de mots de passe

Renifleur de mot de passe

Bien que les attaquants reniflant (surveillant) les communications réseau entre vos utilisateurs et vos applications ne soient pas spécifiquement utilisés pour le contrôle d'accès, il devient de plus en plus important d'être conscient de l'exposition des données, en particulier pour les informations d'authentification.

L'utilisation de SSL peut empêcher efficacement l'exposition des requêtes et des réponses HTTP. Les requêtes adressées à toute ressource utilisant le schéma https sont protégées contre le reniflage de mots de passe. La meilleure approche consiste à toujours utiliser SSL pour envoyer les informations d'authentification. Vous pouvez également utiliser SSL pour envoyer toutes les demandes contenant des ID de session afin d'éviter le piratage de session.

Pour éviter que les informations de vérification de l'utilisateur ne soient exposées, utilisez le schéma https dans l'URL de l'attribut d'action du formulaire comme suit :

CODE:
 
  <form action="https://example.org/login.php"
method="POST">
  <p>Username: <input type="text"
name="username" /></p>
  <p>Password: <input type="password"
name="password" /></p>
  <p><input type="submit"
/></p>
  </form>

Il est fortement recommandé d'utiliser la méthode POST dans le formulaire de vérification, car que vous utilisiez ou non SSL, cela exposera moins d'informations de vérification que le GET. méthode.

Bien que cela soit uniquement fait pour protéger les informations d'authentification de l'utilisateur contre toute exposition, vous devez toujours utiliser SSL pour les formulaires HTML. Cela n'est pas fait pour des raisons techniques, mais les utilisateurs se sentiront plus à l'aise pour saisir les informations de vérification lorsqu'ils verront que le formulaire est protégé par SSL (voir Figure 7-1).

Figure 7-1 La plupart des navigateurs affichent une icône de verrouillage lorsque la ressource actuelle est protégée par SSL

.

Ce qui précède est le contenu de la détection des mots de passe de sécurité PHP. Pour plus de contenu connexe, veuillez faire attention au site Web PHP chinois (www.php.cn) !