Comment sécuriser l'enregistrement des utilisateurs?

Question

Quel est le moyen le plus sûr d'enregistrer de nouveaux utilisateurs?

Je sais que SSL est un bon choix. Mais puis-je avoir SSL sur l'enregistrement de l'utilisateur seulement?

Prenez Wordpress par exemple. L'enregistrement de l'utilisateur est au http://en.wordpress.com/signup/. Et le formulaire d'inscription de l'utilisateur est envoyé au https://en.wordpress.com/wp-login.php.

La même chose vaut pour la connexion.

Comment puis-je faire juste l'enregistrement/et la connexion utiliser SSL? Je ne veux pas (encore) de SSL pour d'autres parties du site.

Answer 1

Ma recommandation serait d'utiliser SSL pour la page qui contient le formulaire de connexion/inscription, ainsi que pour la page en cours de publication. L'utilisation de SSL uniquement pour la page publiée est déjà très bonne, mais si vous souhaitez ajouter plus de protection, la page contenant le formulaire doit être diffusée sur un canal authentifié. Ceci vise à se prémunir, bien sûr, contre la modification possible (même si, peut-être, improbable) de la page contenant le formulaire par un adversaire; mais ce qui est peut-être plus important, c'est que cela permettrait à l'utilisateur de savoir que ses informations personnelles sont gardées secrètes, avant qu'elles ne soient effectivement soumises à ces informations. Si vous avez SSL uniquement pour la page publiée, il se peut que l'utilisateur ne sache pas si ses données personnelles passeront par un canal sécurisé.

Answer 2

Comme @Inshallah mentionne, des liens vers le http://en.wordpress.com/signup/ pour la page d'inscription. Et, une fois l'inscription terminée, wp-login.php devrait rediriger l'utilisateur vers une autre page. Pirater cette adresse pour utiliser une adresse absolue plutôt que relative comme: - si elle redirige vers index.php, changez-le en http://en.wordpress.com/wp-login.php afin que l'utilisateur utilisera SSL uniquement lors de l'inscription.