Requete HTTP sécurisé ? On fait comment svp

Quelqu'un si connait un peu en requête HTTP ?https://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png
Pour le moment j'ai un truc qui fonctionne mais y'a rien de sécurisé n'importe qui pourrait faire une requête HTTP a la main avec un id utilisateur différent et récup les infos.https://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png
Du coup ma question comment faire pour que ça n'arrive pas ? J'ai entendu parler d'header de requete mais jamais test ?https://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png
Le code ressemble à ça vite fait:https://image.noelshack.com/fichiers/2022/32/3/1660093827-image.png
Sur le screen du dessus ce que je fais c'est juste envoyer un requete avec comme path userinfo? + l'id et coté client si dans l'url il y a userinfo? et un id ça renvoie simplement les infos comme en dessous
https://image.noelshack.com/fichiers/2022/32/3/1660093856-image.png

Comment rentre ça sécurisé ?https://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png

Je sais qu'il y a pleins de gens qui si connaissent sur le FOUromhttps://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png

Tu vas dev un script chelou toi ça se voit ..https://image.noelshack.com/fichiers/2022/31/6/1659749917-img-20220806-033651.png

Une ame charitable pour me mettre sur une piste pour avoir un système de requete http sécurisax ?https://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png

Le 10 août 2022 à 03:14:10 :
Tu vas dev un script chelou toi ça se voit ..https://image.noelshack.com/fichiers/2022/31/6/1659749917-img-20220806-033651.png

Non je m'amuse à faire un jeu web avec PixiJS mais j'ai besoin d'un serveur pour gérer des requetes SQLhttps://image.noelshack.com/fichiers/2022/31/6/1659736994-balkanymiroir.png

go voir certificat SSL

el famoso HTTPS

https://image.noelshack.com/fichiers/2020/30/1/1595274591-ahiairpod.png

ah mais tu veux genre etre connecté , avoir un token ou un truc comme ça ?

Le 10 août 2022 à 03:17:11 :
ah mais tu veux genre etre connecté , avoir un token ou un truc comme ça ?

Enfaite la personne est déjà co ça c'est gérer avec du PHP donc ça va. Mais ensuite le jeu est en full javascript donc c'est plus compliqué de faire des requêtes sécurisé SQLhttps://image.noelshack.com/fichiers/2020/52/6/1608985783-ahi-triangle.png
Ce que je veux c'est qu'au lieu de faire des requetes du genre localhost/userinfo?1 ça soit un truc crypter

Oui on appelle ça une IDOR l'op pour corriger ça tu peux utiliser un uid ou accéder ne donner le droit d'accéder au user qu'a en checkant les cookies par exemple

Le 10 août 2022 à 03:20:20 :
Oui on appelle ça une IDOR l'op pour corriger ça tu peux utiliser un uid ( impossible à deviner ) ou donner le droit d'accéder au user en checkant les cookies par exemple

Ah oui voila merci. Faire un uid impossible à deviner comment je pourrais le faire ? Générer une longue chaine de caractère random ?
Parce que la mes id utilisateur c'est 1, 2, 3, 4, 5

oui voila tu utilises uuidv4 parce que uuidv1 c'est pas safe

après concernant les meilleurs méthodes je sais pas vraiment je suis pas dev

T'as des propositions https://cheatsheetseries.owasp.org/cheatsheets/Insecure_Direct_Object_Reference_Prevention_Cheat_Sheet.html

sah j'ai envie de te répondre mais quand je vois le pseudo KJ + le stickers j'ai juste envie de quitter le topax en détax

https://fr.wikipedia.org/wiki/HyperText_Transfer_Protocol_Secure

Token ou api key

Le 10 août 2022 à 03:33:21 :
Token ou api key

il va pas rajouter une api juste pour sécuriser, il peut juste se baser sur un cookie

Tu créés un ID complètement random pour chaque recordset dans ta bdd, dont tu seras le seul à connaitre ensuite l'ID numérique technique (car en bdd).
Donc si ça ne correspond à rien, pas d'ID directement récupérable et donc on ne pourra pas pompe ta bdd.
Un ID alias de 24 chars alphanumérique maj/min fera parfaitement le job.