Bonsoir,
Il est vrai que dans ce topic FoE-Plus je n'ai pas conservé l'historique depuis le tout début, et qui permettait de suivre le cheminement vers l'approbation de cette application. Cependant, la présence de la grosse mention en vert dans mon post (daté de plusieurs mois), et le fait que ce post n'ait été ni édité ni censuré, constituent il me semble une preuve logique de l'approbation de FoE-Plus.
Mais comme ce n'est pas la première fois que je vois la question sur la "légitimité", voire la "légalité" de mon application, est-il envisageable que l'on me fournisse un genre de petit certificat ou diplôme, mais sans prétention juridique aucune, et au contraire sous le trait de l'humour, par exemple sous forme d'un élément graphique que je puisse épingler sur la page d'accueil de FoE-Plus à côté du cadre de login, avec un genre de tampon "Approuvé par Innogames" ? Ce serait davantage pour relever l'information visuellement et rassurer l'utilisateur, que pour vraiment être dans un cadre d'approbation légale. Je peux commander ça pour Noël ?
Pour l'aspect sécurité, puisque c'est ce qui semble inquiéter au moins Arnoldax (qui dit que "
Pas mal de joueurs ont répondu que c'est risqué pour voler les comptes.") :
[pavé_start]
FoE et FoE-Plus sont hébergés sur des domaines différents, il n'est donc pas possible de lancer des requêtes POST cross-domain dans un sens comme dans l'autre. Il n'est donc pas possible de connaître des informations des joueurs de FoE via FoE-Plus, et réciproquement. Donc déjà le "vol" de compte FoE via FoE-Plus s'annonce compliqué !
Vous me direz : "oui mais à tout les coups, un certain nombre de joueurs mettent le même mot de passe à la fois dans FoE et dans FoE-Plus". C'est possible, pour plus de simplicité j'imagine que certains doivent le faire.
Donc dans ce cas, pour "voler" un compte FoE via FoE-Plus, il faudrait déjà parvenir à corrompre le serveur SQL de chez free, chez qui j'héberge mon site. En admettant qu'on y arrive, et que l'on puisse extraire de la base de données toutes les informations que FoE-Plus stocke, un nouveau très gros obstacle va se poser : le cryptage des mots de passe.
En effet, les mots de passe temporaires qui sont automatiquement générés par FoE-Plus lors de l'inscription sont stockés "en clair" dans la base de données, puisqu'ils n'ont "statistiquement aucune chance" de correspondre au mot de passe réel du joueur dans FoE. Et ainsi il est très facile pour moi de redonner ce mot de passe à l’utilisateur qui me le demande par MP, sans devoir le changer.
Les mots de passe personnalisés par les utilisateurs de FoE-Plus, eux, sont doublement cryptés dans la base de données, et j'utilise ce qu'on appelle un "grain de sel" entre les deux couches de cryptage. Cette technique rend inopérantes les attaques par dictionnaires de hashage.
D'ailleurs je n'ai moi-même aucun moyen de connaître le mot de passe qu'a tapé l'utilisateur et pourtant j'ai accès à ma base de données, mais je vois les valeurs cryptées. Si un utilisateur me redemande son mot de passe et que ce n'est plus le mot de passe temporaire stocké "en clair", je dois donc en régénérer un nouveau temporaire. D'ailleurs c'est arrivé aujourd'hui.
[/pavé_end]
Voilà, désolé pour le pavé technique, quoique ça peut être intéressant pour les curieux qui s'y connaissent un peu, mais ce message se voulait avant tout rassurant et transparent, tant pour les "Pas mal de joueurs" que Arnoldax dit être inquiets, que pour l'équipe technique qui m'a accordé sa confiance en approuvant l'outil, et qui mérite de connaître son fonctionnement un peu plus en détail.
La sécurité et la confidentialité des données est un sujet important qui mérite qu'on s'y attarde un peu, d'où ce message.
En résumé : rien de ce que FoE-Plus stocke ne permet de remonter aux données d'un compte réel FoE.