sécuriser après LOGIN/MDP, méthodes, témoignages? [PHP] - Programmation
Marsh Posté le 12-01-2002 à 19:44:12
oéu je sais qu'il ya cette possiblité là! mais est-ce sûr? in-hackable?
Marsh Posté le 12-01-2002 à 19:52:37
k666 a écrit a écrit : oéu je sais qu'il ya cette possiblité là! mais est-ce sûr? in-hackable? |
le jour ou tu trouveras quelque chose de in-hackable, tu me feras signe.
L'intérêt des sessions ne vaut que si le php a été configuré pour les garder en local, si tu est obliger de rajouter le numéro de session dans chaque lien, un simple sniffer sert a récuppéere le numéro, et après, tu te fais passer pour qui tu veux.
Marsh Posté le 12-01-2002 à 20:29:11
j'aurais dit qu'une page sur un site ou ya aucun lien dessus + login+MDP pour entre sur cette page ca le fait non ?
et oui si la page n'est pas référencé on fait comment pour la connaitre !!
et si quelqu'un arrive par hasrd dessus, ya tj le login passe
Marsh Posté le 12-01-2002 à 20:32:50
mais un mec qui intercepte les requetes http bin il sait que ça existe alors
Marsh Posté le 12-01-2002 à 20:34:37
c a dire !!
Marsh Posté le 12-01-2002 à 20:35:06
SteF_DOBERMANN a écrit a écrit : j'aurais dit qu'une page sur un site ou ya aucun lien dessus + login+MDP pour entre sur cette page ca le fait non ? et oui si la page n'est pas référencé on fait comment pour la connaitre !! et si quelqu'un arrive par hasrd dessus, ya tj le login passe |
l'important, ce n'est pas la page avec le login et le mdp, ce sont les pages qui sont accesibles après.
Marsh Posté le 12-01-2002 à 20:36:21
apres tu utilise un cookie de session
ki prend fin quand le navigateur se ferme
Marsh Posté le 12-01-2002 à 20:37:34
SteF_DOBERMANN a écrit a écrit : apres tu utilise un cookie de session ki prend fin quand le navigateur se ferme |
donc pendant tou le temps de ta session, n'importe qui sniffe ton cookie sans aucun problème, le copie chez lui et hop, le tour est joué.
Marsh Posté le 12-01-2002 à 20:39:15
et tu fait comment pour copié un cookie ??
Marsh Posté le 12-01-2002 à 20:42:19
Dans ton script tu fait une vérification sur l'IP du client à condition que celui-ci est une IP fixe
Marsh Posté le 12-01-2002 à 20:47:04
ben pour copier un cookie, suffit d'un sniffer, je l'ai déja mis, ensuite tu te créee ton cookie avec les bonnes infos dedans, c'est pas très dur.
Pour le coup de l'ip, c'est pas valable non plus, suffit que ton client passe par le même proxy que le hacker et c'est foutu, et s'il n'a pas de proxy, le hackeur peux toujours utiliser du spoofing (la c'est plus complexe, en effet).
Non, le principe du cookie n'est pas une bonne sécurité.
Marsh Posté le 12-01-2002 à 20:49:41
sauf si tu passe par le https
Marsh Posté le 12-01-2002 à 20:51:48
ok, mais bon, dans ce cas, autant faire une connexion sécurisé type ssl ou autre...
Marsh Posté le 12-01-2002 à 20:54:11
et ben voila on arrive à une solution
Marsh Posté le 12-01-2002 à 21:25:35
euh...
ducoup ma variable de session, bin ....
et du coup, quoi faire???
Marsh Posté le 12-01-2002 à 23:05:05
Vi, le principe, c kand le gars le logge, tu balances un cookie sur son disque dur ...
Apres, sur ta page protégée, tu regardes si ce cookie est present sur son DD ; s'il l'est, la page est visible, s'il l'est pas, tu redirige vers la page de login ou d'inscription
Voila, enfin, moi, g fais ca comme ca
Marsh Posté le 13-01-2002 à 00:43:38
c presque ce que j'ai écrit plus haut
Marsh Posté le 13-01-2002 à 02:16:55
si tu es pas sur des sessions, tu peux rajouter un test sur l'ip.
tu stockes dans une BD le numéro de sesion + ip.
à chaque demande de page, tu vérifies que la session+ip correspond bien.
Ta session ne durant que 15 min par exemple, il fort peu probable que le hacker arrive à te repérer, te sniffer, et te spoofer...
maintenant ça dépend des informations à protéger. Tes informations sensibles risquent-elles d'intéresser à un tel point qq ?? En majorité non. Donc cette protection peut suffire.
Pour les autres, utilise plutôt https, ssl.
Marsh Posté le 14-01-2002 à 03:09:57
c pas que je sois pas sur des sessions, c les sessions qui sont pas sures
du coup, up!
Marsh Posté le 14-01-2002 à 15:03:33
Voici la réponse que g ecrit ds un autre topic
Tu devrais utiliser les cookies !
Disons que tu as une page pour t'identifier ; la page de verification va s'appeler : verif.php
Tout en haut de verif.php (Plus haut de la balise HTML), tu mets :
Code :
|
Sur ta page protégée, tout en haut, tu mets :
Code :
|
Avec ce code, ca envie deux cookies en un ; en fait, ds un cookie, tu auras le login et le pass.
Kand le visiteur s'identifie, ca balance un cookie sur son disque dur ; kand il va sur la page protégée, l'autre code appelle le cookie ; s'il y est, la page visible, s'il l'est pas, tu auras : "Fo vous identifier
Voila, @+
Marsh Posté le 14-01-2002 à 15:09:41
mais imagine que les login et mots de passe soient stockés dans une bdd:
ce système ça veut dire que dans chacune des pages sécurisées, fo faire un appel à la bdd et voir si login/mdp matchent avec ce qui est autorisé???
et sinon, bin fodré trouver un système différent, paske faire à chaque page une requête pour voir si le mec est dans la base, ça peut être relou???
et donc: ya la possibilité de créer un jeton/session, une variable (cookisée) qui soit simplement du style:
cookie[$loggedin] = vrai;
maius dans ce cas là, le mec peut tricher???
et sinon, dans ton exemple, il faut vraiment faire une requête bdd à chaque page visitée?
Marsh Posté le 14-01-2002 à 15:17:53
Ben pour le code ke g mis, serieux, ya rien de plus facile
Pour chacune de tes pages securisées, tu mets ca TOUT EN HAUT :
Code :
|
Et c tout, y a rien a mettre de plus !
Serieux, c tres pratique, car le gars qui c pas identifié, donc qui n'a pas le cookie sur son DD, il peut vraiment pas entrer sur ta page !!
Je parle pas pour les hackers bien sur lol
Si tu veux un exemple, tu peux aller sur mon site ds la sign, et sur la page d'acceuil va sur TELECHARGER VO ou VF, tu verras ca marche po ; par contre, enregistre toi, et loge toi, ben ca marche
Marsh Posté le 14-01-2002 à 15:51:04
mais n'importe qui peut créer le cookie chez soi, et mettre login=merde et pass=je_te_hacke
non?
Marsh Posté le 14-01-2002 à 16:02:22
Ha bah non !!!
En fait, fo s'inscrire ...
Kand tu es inscris, tes infos sont la base ...
Kand tu te logge, en fait, automatiquement, les infos qu'a rentré le gars sont comparée a celle de la base ...
Si ca coincide, le cookie est balancé sur ton DD
Si ca coincide po, il est po balancé, ton impossible de voir la page !
Et pis, ds les cookies, y a des series de nombres bien precis, donc tu n'a aucun riske ke kelk'un les trouves !!!
Marsh Posté le 14-01-2002 à 16:17:35
k666 a écrit a écrit : ça marche |
Cool
Tu l'as uploadé pour k'on puisse voir !
Marsh Posté le 14-01-2002 à 16:28:25
le cookie quil ma mis dans mon ordi est le suivant:
login
pato
localhost/boutique/administration/
0
3926976000
29465875
3169745184
29465871
*
pass
pato
localhost/boutique/administration/
0
3926976000
29465875
3201045184
29465871
*
session
1011021931020
localhost/boutique/administration/
0
3926976000
29465875
3227945184
29465871
*
Marsh Posté le 14-01-2002 à 16:31:28
OK, et ca marche bien pour te logger ?
Donc, tu as vu ke c t tres difficile pour créé un cookie comme ca
Marsh Posté le 14-01-2002 à 16:33:42
de plus, avec :
login
pato
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
pass
pato
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
session
1011021931020
localhost/boutique/administration/
0
12345
12345678
1234567890
12345678
*
en tant que cookie, ça marche aussi
Marsh Posté le 14-01-2002 à 16:34:26
donc:
c pas sûr ste méthode de cookies!!!
(je l'ai édité à la main, le cookie en questrion,
j'aurais aussi bien pu le créer avec notepad et l'nregistrer dans mon répertoire de cookies )
ya pas une méthode pour crypter les noms des cookies ou kek chose à faire?????
[edtdd]--Message édité par k666--[/edtdd]
Marsh Posté le 14-01-2002 à 16:40:53
Arf, chelou, je vais aller demander des explications
Marsh Posté le 15-01-2002 à 06:52:36
test
[edtdd]--Message édité par k666--[/edtdd]
Marsh Posté le 15-01-2002 à 11:07:20
puisqu'on vous a expliquez plus haut que les cookies c'est pas une méthode sure...
Marsh Posté le 12-01-2002 à 19:34:02
salut,
voilà, j'aimerai faire ce topic pour savoir quelles sont les méthodes les plus sûres pour sécuriser une partie d'un site web, par exemple l'administration d'un site de e-commerce
!
en effet, peut souvent mettre un login et un mot de passe dans un point donné, mais à partir de là, que faéire, pour être sûr que seule la personne qui s'est authentifié à ce moment ne pénètre dans les zones intéressantes?
en bref:
je viens de créer une page (frameset averc frame caché),
l'utilisateur arrive, ça génère à son arrivée un numéro en javascript client qui s'insère dans la base de données, pis le mec doit se loguer, et dans ce login, il faut qu'il y aie ce numéro "post-é" dans le frame invisible, plus le login et le mot de passe... comme ça je suis sûr que c'est pas un malin avec sa moulinette qui essaie plein de combinaisons différentes jusqu'à trouver,
mais! je ne sais pas, après, comment maintenir la session du mec?
ou, aussi, je ne sais pas i mon système est complètement con aussi?
bref, je sais pas comment faire, clean, et bien....
donc si vous, vous savez, dites moi siouplé!
merci