IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Sécurité Jquery modal login => Ajax


Sujet :

Sécurité

  1. 24/02/2011, 11h02 #1
    kcin
    kcin est déconnecté
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2005
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2005
    Messages : 54
    Points : 108
    Points
    108
    Par défaut Sécurité Jquery modal login => Ajax
    Bonjour,

    Voilà, sur un développement de site avec système de login, je pensais mettre en place une modal login basique avec traitement Ajax, histoire d'éviter les reload de page...

    Or, un ami m'a fait la remarque que ce système a une faille assez importante. Et j'aurais aimé savoir si il y avait une parade pour éviter çà tout en gardant le principe de fonctionnement mentionné plus haut.

    A l'arrivée sur le site, la modal apparait avec les champs login pass. En validant, çà envoi ces informations en ajax sur une page afin de savoir si le login et le pass sont correct. Est retourné ensuite une ou plusieurs valeurs. En fonction de ces valeurs soit çà affiche un message d'erreur soit la modal disparait pour laisser l'accès au site.

    La faille serait, avec l'aide d'outils genre firebug, que la personne malveillante modifie le code jquery en y introduisant un dictionnaire de mot de passe ( par exemple ) afin d'accéder au site. C'est une faille quand même assez importante, et j'aurais voulu avoir vos avis car avec tous les scripts modal login proposés sur internet, il doit bien y avoir une parade.

    Voilà, a vous.

    Merci.
    Répondre avec citation Répondre avec citation   0  0
  2. 24/02/2011, 19h54 #2
    pi-2r
    pi-2r est déconnecté
    Rédacteur
    Avatar de pi-2r
    Homme Profil pro
    Développeur Java
    Inscrit en
    Juin 2006
    Messages
    1 486
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java

    Informations forums :
    Inscription : Juin 2006
    Messages : 1 486
    Points : 2 440
    Points
    2 440
    Par défaut
    Bonsoir,

    j'ai été moi même dans le même embarras que toi lors du développement d'un de mes projets. A l'heure actuelle, tout le monde veux du Jquery/AJAX pour animer son site...
    Le seul problème, c'est que cela fait appel à du javascript, qui est comme tu l'as compris tout à fait modulable avec de bon outils (Firebug, Web Developper, ainsi que d'autres outils orienté pentest).

    Pour ce qui est de l'attaque par dictionnaire, c'est un addon développer sous Firefox utilisé pour tester la fiabilité des mots de passes.

    Pour ce qui est des formulaire d'authentification, rien ne vaut les anciennes méthodes de sécurisation, à savoir:
    -utiliser mysql_real_escape_string() contre les caractères spéciaux (ex: injection SQL)
    -au bout de 3 mauvaises tentatives, faire appel à un captcha, voir bannir l'utilisateur/robot en lui refilant un cookie contenant des données qui, dés quelles sont lues par le site, le redirige vers une page d'erreur
    Les pièges de l'Internet
    Helix, réponse à une intrusion


    "La plus grande gloire n'est pas de ne jamais tomber, mais de se relever à chaque chute." Confucius
    "Si j'ai vu plus loin, c'est en me tenant sur les épaules de géants." Isaac Newton
    Répondre avec citation Répondre avec citation   0  0
  3. 24/02/2011, 20h12 #3
    kcin
    kcin est déconnecté
    Membre régulier
    Homme Profil pro
    Développeur Web
    Inscrit en
    Février 2005
    Messages
    54
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Février 2005
    Messages : 54
    Points : 108
    Points
    108
    Par défaut
    Ne voyant pas de réponse venir, je me suis finalement remis sur la voie traditionnelle

    Merci de ta réponse
    J'aurais pensé qu'il y eut une alternative, mais çà n'a pas l'air d'être le cas.
    Répondre avec citation Répondre avec citation   0  0
+ Répondre à la discussion
Cette discussion est résolue.
ActualitésFAQs WebTutoriels WebSources WebLivres WebOutils Web
« Discussion précédente | Discussion suivante »

Discussions similaires

  1. [Sécurité] Page de login incontournable
    Par Philippe PONS dans le forum Langage
    Réponses: 2
    Dernier message: 01/03/2008, 10h26
  2. [JQuery] calendrier popup en ajax
    Par popogendarme dans le forum jQuery
    Réponses: 2
    Dernier message: 19/06/2007, 16h45
  3. [Sécurité]Sécurité utilisateur avec login pour chaque formulaire
    Par vcattin dans le forum Sécurité
    Réponses: 4
    Dernier message: 12/04/2007, 20h25
  4. [Sécurité] Ecran De Login Avec Htaccess
    Par rte304 dans le forum Langage
    Réponses: 3
    Dernier message: 08/12/2006, 14h03
  5. [Sécurité] Script de login / pass avec sessions
    Par atomcomputer dans le forum Langage
    Réponses: 12
    Dernier message: 29/11/2006, 09h58

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo