Protéger l'accès d'un site extranet

Protéger l'accès d'un site extranet - PHP - Programmation

Marsh Posté le 31-05-2018 à 08:35:29    

Bonjour,
 
  Dans le cadre d'un projet d'un site extranet je cherche les moyens les plus fiables pour éviter un piratage.
  Le site serait développé sous php, il y aurait un identifiant et mot de passe, mais il faudrait également restreindre les ordinateurs qui y auraient accès.
  Comment identifier un ordinateur correctement ?
  Est-ce que l'emploi d'une web extension installée sur le navigateur permettrait d'aider le navigateur à identifier un ordinateur ? Le faite que la source (de l'extension) ne soit pas masqué est-ce risqué ?
  Avez-vous des idées de protection sans aller jusqu'au VPN, ça doit rester simple à mettre en place.
 
  Merci par avance.

Reply

Marsh Posté le 31-05-2018 à 08:35:29   

Reply

Marsh Posté le 31-05-2018 à 12:14:26    

Pourquoi ne pas utiliser un annuaire LDAP ou Active Directory (sous Windows) ?


---------------
J'ai un string dans l'array (Paris Hilton)
Reply

Marsh Posté le 31-05-2018 à 21:59:38    

Bonsoir,
 
  Les ordinateurs qui accèdent à l'extranet, ne sont pas dans le domaine ou réseau local.
 

Reply

Marsh Posté le 01-06-2018 à 14:29:19    

L'utilisation de certificats ?

Reply

Marsh Posté le 04-06-2018 à 21:46:38    

Quelques pistes:
 
- filtrage par IP ou nom d'hote via apache2
=> problématique si les IP sont dynamiques
et les IP peuvent être sniffées.
 
- uiliser des certificats côté clients:
 
https://www.jscape.com/blog/client- [...] entication
 
A mon avis cette dernière option est à privilégier


---------------
collectionneur de pâtes thermiques
Reply

Marsh Posté le 04-06-2018 à 22:10:11    

Merci.
 
Oui une IP peut être usurpée, mais je me demandais s'il n'y avait pas d'autre information à récupérer qui permet d'identifier l'utilisateur, sa version de navigateur, ...  
J'ai réfléchi de mon coté, peut être je pourrai ouvrir l'accès à une IP sur une durée limité (4h), après que l'utilisateur ait valide un code spécifique, ça limiterait pas mal les risques, non ? Sauf si le pirate connais l'ip de l'utilisateur, sait que l'accès est ouvert.  
 
Pour les certificats, il s'agit du système que l'on trouve sur certain site qui nous demande de confirmer l'obtention d'un certificat (https://bdffx42837.i.lithium.com/t5 [...] 4D4F?v=1.0), donc tout le monde peut demander. Ou il s'agit d'un système qui attribut à un PC ou utilisateur son propre certificat, dans ce cas quel serait les conditions d'obtention et est-il possible d'exporter au format P12 pour l'importer sur un autre PC ?
 
Pour ma part je n'imagine pas prendre des certificats RGS sur support clé.
 
Merci par avance.

Reply

Marsh Posté le 05-06-2018 à 11:40:55    

snike a écrit :

Merci.
 
Oui une IP peut être usurpée, mais je me demandais s'il n'y avait pas d'autre information à récupérer qui permet d'identifier l'utilisateur, sa version de navigateur, ...  
J'ai réfléchi de mon coté, peut être je pourrai ouvrir l'accès à une IP sur une durée limité (4h), après que l'utilisateur ait valide un code spécifique, ça limiterait pas mal les risques, non ? Sauf si le pirate connais l'ip de l'utilisateur, sait que l'accès est ouvert.  
 
Pour les certificats, il s'agit du système que l'on trouve sur certain site qui nous demande de confirmer l'obtention d'un certificat (https://bdffx42837.i.lithium.com/t5 [...] 4D4F?v=1.0), donc tout le monde peut demander. Ou il s'agit d'un système qui attribut à un PC ou utilisateur son propre certificat, dans ce cas quel serait les conditions d'obtention et est-il possible d'exporter au format P12 pour l'importer sur un autre PC ?
 
Pour ma part je n'imagine pas prendre des certificats RGS sur support clé.
 
Merci par avance.


 
 
Pour le certificat, le premier que tu citess est un certificat de type server-side, c'est à dire que le certificat permet d'authentifier le site que tu vas consulter comme étant bien celui qu'il prétant être.
Dans ton cas, il s'agit plutot de certificat client-side: si le client ne possède pas le certificat lui permettant de s'authentifier sur le site, il n'aura pas accès au site.
Perso je connais juste le principe mais je n'ai pas d'expérience concrète de ce genre de sécurité.
Si tu ne veux pas utiliser une clé USB pour le déployement des certificats, tu peux te tourner vers un service d'envoi de fichier sécurisé  
par ex: https://korben.info/bluefiles-secur [...] elles.html  


---------------
collectionneur de pâtes thermiques
Reply

Marsh Posté le 06-06-2018 à 08:25:23    

Justement le client-side (merci pour l'info je ne connaissait pas les noms) peut être exporter et réimporté dans un autre PC, non ?

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed