Auth::setAdvancedSecurity()

Auth::setAdvancedSecurity() – Active les fonctionnalités avancées de sécurité. Désactivé par défaut

Synopsis

void Auth::setAdvancedSecurity ( bool $flag = true )

Description

Activez les fonctionnalités avancées de sécurité pour rendre les attaques moyennes et hijacking sur les sessions bien plus complexes. Les cookies et le Javascript doivent être activés sur le navigateur client pour que quelques unes de ces fonctionnalités fonctionnent correctement.

Activez les fonctionnalités de sécurité suivante pour l'identification :

  • Détection du changement de l'adresse IP du client ou du changement de l'entête user-agent ; si un tel changement est détecté, l'utilisateur sera déloggué.

  • Chaque client demande un cookie unique spécial donné par le client. Il doit présenter ce cookie à sa prochaine requête. Ce cookie change à chaque requête. Si le client ne présente pas le cookie valide, il sera déloggué.

  • Permet la réponse de défi pour l'écran d'ouverture de défaut de l'identification. Le mot de passe de l'utilisateur sera hashé avec javascript avant d'être envoyé au serveur. Prévient le mot de passe de l'utilisateur contre les outils de sniffage. Le mot de passe est hashé avec une clé aléatoire donc, le hash md5 ne sera pas sujet au crackage en force brute du mot de passe. Celà ne fonctionne uniquement pour les contenaires de stockage qui supporte la réponse de défi du mot de passe de l'identification. Actuellement, uniquement les contenaires DB, MDB et MDB2 support celà pour les md5 et les mots de passe en clair.

Cette méthode est disponible depuis 1.3.0

Parameter

boolean $flag

TRUE si vous voulez activer les fonctionnalités de sécurité avancées, FALSE si vous voulez les désactiver.

Note

This function can not be called statically.

Efface un compte utilisateur (Previous) Contrôle si l'utilisateur est autorisé à s'identifier. Activé par défaut (Next)
Last updated: Sun, 29 Aug 2010 — Download Documentation
Do you think that something on this page is wrong? Please file a bug report or add a note.
View this page in:

User Notes:

Note by: user@example.com
Auth::setAdvancedSecurity()

The function should give the user more power about WHAT is checked. For example you could need to check that the ip is persistent but the user agent could change.

This is at the moment not possible, either you can use ALL or NONE of the 'advanced security functions'.