salut,
voilà, j'aimerai faire ce topic pour savoir quelles sont les méthodes les plus sûres pour sécuriser une partie d'un site web, par exemple l'administration d'un site de e-commerce
!
 
en effet, peut souvent mettre un login et un mot de passe dans un point donné, mais à partir de là, que faéire, pour être sûr que seule la personne qui s'est authentifié à ce moment ne pénètre dans les zones intéressantes?
 
en bref:
je viens de créer une page (frameset averc frame caché),
l'utilisateur arrive, ça génère à son arrivée un numéro en javascript client qui s'insère dans la base de données, pis le mec doit se loguer, et dans ce login, il faut qu'il y aie ce numéro "post-é" dans le frame invisible, plus le login et le mot de passe... comme ça je suis sûr que c'est pas un malin avec sa moulinette qui essaie plein de combinaisons différentes jusqu'à trouver,
mais! je ne sais pas, après, comment maintenir la session du mec?
ou, aussi, je ne sais pas i mon système est complètement con aussi?
bref, je sais pas comment faire, clean, et bien....
donc si vous, vous savez, dites moi siouplé!
 
merci

Regarde du côté des sessions

oéu je sais qu'il ya cette possiblité là! mais est-ce sûr? in-hackable?

 
le jour ou tu trouveras quelque chose de in-hackable, tu me feras signe.
 
L'intérêt des sessions ne vaut que si le php a été configuré pour les garder en local, si tu est obliger de rajouter le numéro de session dans chaque lien, un simple sniffer sert a récuppéere le numéro, et après, tu te fais passer pour qui tu veux.

pour l'admin...un fichier .htaccess

 
j'aurais dit qu'une page sur un site ou ya aucun lien dessus + login+MDP pour entre sur cette page ca le fait non ?
 
et oui si la page n'est pas référencé on fait comment pour la connaitre   !!
et si quelqu'un arrive par hasrd dessus, ya tj le login passe

mais un mec qui intercepte les requetes http bin il sait que ça existe alors

c a dire !!

SteF_DOBERMANN a écrit a écrit :   j'aurais dit qu'une page sur un site ou ya aucun lien dessus + login+MDP pour entre sur cette page ca le fait non ?   et oui si la page n'est pas référencé on fait comment pour la connaitre   !! et si quelqu'un arrive par hasrd dessus, ya tj le login passe

 
l'important, ce n'est pas la page avec le login et le mdp, ce sont les pages qui sont accesibles après.

apres tu utilise un cookie de session
ki prend fin quand le navigateur se ferme

 
donc pendant tou le temps de ta session, n'importe qui sniffe ton cookie sans aucun problème, le copie chez lui et hop, le tour est joué.

et tu fait comment pour copié un cookie ??

Dans ton script tu fait une vérification sur l'IP du client à condition que celui-ci est une IP fixe

ben pour copier un cookie, suffit d'un sniffer, je l'ai déja mis, ensuite tu te créee ton cookie avec les bonnes infos dedans, c'est pas très dur.
 
Pour le coup de l'ip, c'est pas valable non plus, suffit que ton client passe par le même proxy que le hacker et c'est foutu, et s'il n'a pas de proxy, le hackeur peux toujours utiliser du spoofing (la c'est plus complexe, en effet).
 
Non, le principe du cookie n'est pas une bonne sécurité.

sauf si tu passe par le https

ok, mais bon, dans ce cas, autant faire une connexion sécurisé type ssl ou autre...

et ben voila on arrive à une solution  

euh...
ducoup ma variable de session, bin ....  
 
et du coup, quoi faire???

Vi, le principe, c kand le gars le logge, tu balances un cookie sur son disque dur ...
 
Apres, sur ta page protégée, tu regardes si ce cookie est present sur son DD ; s'il l'est, la page est visible, s'il l'est pas, tu redirige vers la page de login ou d'inscription
 
Voila, enfin, moi, g fais ca comme ca

c presque ce que j'ai écrit plus haut  

si tu es pas sur des sessions, tu peux rajouter un test sur l'ip.
tu stockes dans une BD le numéro de sesion + ip.
à chaque demande de page, tu vérifies que la session+ip correspond bien.
Ta session ne durant que 15 min par exemple, il fort peu probable que le hacker arrive à te repérer, te sniffer, et te spoofer...  
 
maintenant ça dépend des informations à protéger.  Tes informations sensibles risquent-elles d'intéresser à un tel point qq ??  En majorité non.  Donc cette protection peut suffire.  
Pour les autres, utilise plutôt https, ssl.

c pas que je sois pas sur des sessions, c les sessions qui sont pas sures
 
du coup, up!

Voici la réponse que g ecrit ds un autre topic
 
 
Tu devrais utiliser les cookies !
 
Disons que tu as une page pour t'identifier ; la page de verification va s'appeler : verif.php
 
Tout en haut de verif.php (Plus haut de la balise HTML), tu mets :

 
Sur ta page protégée, tout en haut, tu mets :

 
Avec ce code, ca envie deux cookies en un ; en fait, ds un cookie, tu auras le login et le pass.
 
Kand le visiteur s'identifie, ca balance un cookie sur son disque dur ; kand il va sur la page protégée, l'autre code appelle le cookie ; s'il y est, la page visible, s'il l'est pas, tu auras : "Fo vous identifier
 
Voila, @+

mais imagine que les login et mots de passe soient stockés dans une bdd:
ce système ça veut dire que dans chacune des pages sécurisées, fo faire un appel à la bdd et voir si login/mdp matchent avec ce qui est autorisé???
 
et sinon, bin fodré trouver un système différent, paske faire à chaque page une requête pour voir si le mec est dans la base, ça peut être relou???
 
 
et donc: ya la possibilité de créer un jeton/session, une variable (cookisée) qui soit simplement du style:  
 
cookie[$loggedin] = vrai;
 
maius dans ce cas là, le mec peut tricher???
 
et sinon, dans ton exemple, il faut vraiment faire une requête bdd à chaque page visitée?

Ben pour le code ke g mis, serieux, ya rien de plus facile
 
Pour chacune de tes pages securisées, tu mets ca  TOUT EN HAUT :
 

 
Et c tout, y a rien a mettre de plus !
 
Serieux, c tres pratique, car le gars qui c pas identifié, donc qui n'a pas le cookie sur son DD, il peut vraiment pas entrer sur ta page !!
Je parle pas pour les hackers bien sur lol
 
Si tu veux un exemple, tu peux aller sur mon site ds la sign, et sur la page d'acceuil va sur TELECHARGER VO ou VF, tu verras ca marche po ; par contre, enregistre toi, et loge toi, ben ca marche

mais  n'importe qui peut créer le cookie chez soi, et mettre login=merde et pass=je_te_hacke
non?

Ha bah non !!!
 
En fait, fo s'inscrire ...
Kand tu es inscris, tes infos sont la base ...
 
Kand tu te logge, en fait, automatiquement, les infos qu'a rentré le gars sont comparée a celle de la base ...
 
Si ca coincide, le cookie est balancé sur ton DD
Si ca coincide po, il est po balancé, ton impossible de voir la page !
 
Et pis, ds les cookies, y a des series de nombres bien precis, donc tu n'a aucun riske ke kelk'un les trouves !!!

ok bin je vais essayer comme ça alors

OK, dis moi si ca marche

ça marche  
 
 

k666 a écrit a écrit : ça marche

 
Cool
Tu l'as uploadé pour k'on puisse voir !

CENSUR2

[edtdd]--Message édité par k666--[/edtdd]

Lol, mais tu fe comment pour venir ici ?

le cookie quil ma mis dans mon ordi est le suivant:
 
 
login
pato
localhost/boutique/administration/
0
3926976000
29465875
3169745184
29465871
*
pass
pato
localhost/boutique/administration/
0
3926976000
29465875
3201045184
29465871
*
session
1011021931020
localhost/boutique/administration/
0
3926976000
29465875
3227945184
29465871
*

OK, et ca marche bien pour te logger ?
 
Donc, tu as vu ke c t tres difficile pour créé un cookie comme ca

de plus, avec :
 
login
pato
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
pass
pato
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
session
1011021931020
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
 
 
en tant que cookie, ça marche aussi

donc:
c pas sûr ste méthode de cookies!!!
 
(je l'ai édité à la main, le cookie en questrion,
j'aurais aussi bien pu le créer avec notepad et l'nregistrer dans mon répertoire de cookies )
 
  ya pas une méthode pour crypter les noms des cookies ou kek chose à faire?????

[edtdd]--Message édité par k666--[/edtdd]

Arf, chelou, je vais aller demander des explications

test

[edtdd]--Message édité par k666--[/edtdd]

puisqu'on vous a expliquez plus haut que les cookies c'est pas une méthode sure...