[Sécurité] votre avis : mon script est il suffisament sécurisé ou pas ?

[cheucher]

Bonjour à tous,

Je vous explique ce qui m'amème ici. Le serveur intranet de ma boîte s'est transformé depuis peu en extranet, puisqu'il sort désormais sur une ip fixe.

Devant contrôler l'accès des visiteurs, sa consultation étant réservée aux membres de la société, j'ai développé (enfin récupéré un script d'authentification http que j'ai modifié pour être franc , j'suis pas une star du php)un script et voudrais savoir ce qu'il vaut concrétement en matière de sécurité et si c'est suffisant.

Voici le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
 
 
//identification de l'ip du client
$ip = $_SERVER['REMOTE_ADDR'];
 
//scan de l'ip client, si l''ip fait partie du reseau local, pas d'authentification
$dhcp = array();
 
for($x = 1; $x < 251; $x++)
{
  $dhcp[] = "10.1.0.$x";
  $dhcp[] = "10.1.1.$x";
  $dhcp[] = "10.1.2.$x";
  $dhcp[] = "10.1.3.$x";
  $dhcp[] = "10.6.0.$x";
  $dhcp[] = "10.4.0.$x";
  $dhcp[] = "10.3.0.$x";
  $dhcp[] = "10.7.0.$x";
}
 
 
//script pour envoyer le login et le mot de passe via authentification http
if (!in_array($ip,$dhcp))
{
 
	function auth(){
 
    $realm="Authentification accès extranet";
 
    Header("WWW-Authenticate: Basic realm='".$realm."'");
    Header("HTTP/1.0 401 Unauthorized");
    // la redirection est impossible
    // inclure une page html d'erreur
    include "401.html";
 
    exit;
	}
if( !isset($PHP_AUTH_USER) && !isset($PHP_AUTH_PW) ) {
   		 auth();
			}
		else {
 
		//Cryptage md5 du login et du mot de passe
   		 if( md5($PHP_AUTH_USER) ==='f7a74c0eeeff5939f2837509a50bf116' && md5($PHP_AUTH_PW) === '0595b6baa1ed2293c7548994e84563f1' ) {
			}
 
			else{
       			 auth();
   				 }
	}
 
 
}

Dois je sortir en https sur le serveur extranet bien que le login et mot de passe soient cryptés ?

J'attends vos avis, retour d'expérience...

[gorgonite]

pourquoi pas simplement un .htpasswd et une configuration des droits d'accès au niveau du fichier de conf d'apache ?

[FrankOVD]

C'est un cas de pare-feu à mon avis

Sinon il faut une session sécurisée avec de bons mots de passes pour chaque usager

[cheucher]

Exact, il ya bien un pare-feux.

Concernant les utilisateurs, ils sont 19 au total, je pensais leurs donner le même mot de passe à tous, celui qui est crypté dans le script.

Je ne voulais pas faire de sessions, je n'y connais pas grand-chose et pour aussi peu d'utilisateurs je pensais que ça ne fallait pas le coup que je me prenne la tête. Mais, je vais tout de même me renseigner sur le sujet.