IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] Sécurité totale pour un espace membre [Débat]


Sujet :

Langage PHP

  1. #161
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Superbe explication swoög !
    Rodolphe_1940, même si ton hébergement est "hacké" et que ton site est alors devenu n'importe quoi pendant la nuit, cela ne signifie pas que la pirate est récupérer tes bases de données... Si tu comptes implémenter SSL, saches que ce système sert principalement à crypter la communication (RSA à la connexion puis EAS il me semble) pour contrer le pirate en écoute sur le réseau (faille appellée "man in the middle"). Autrement dit, il faut continuer à sécuriser ton espace membre; SSL est un plus et pas des moindres puisqu'il est très difficile de contrer l'écoute réseau en utilisant php & javascript (il n'existe pas d'alternative à SSL). à+
    De retour parmis vous après 10 ans!!

  2. #162
    Membre éclairé Avatar de fallais
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    858
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2006
    Messages : 858
    Points : 783
    Points
    783
    Par défaut
    Citation Envoyé par Sub0
    Je n'adère pas, car ce n'est pas justifié pour le moment!
    Ooh tu sais, si quelqu'un veut hacker son site, il le fera mais en meme temps, identification par SESSIONS, COOKIES et criptage MD5 ca doit suffir je pense.
    Ne pas oublié les htmlentities, BBCODE et tout le bazard pour éviter que des petits noobs s'amusent a bousiller les requetes SQL et voila
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  3. #163
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Je viens de trouver ce lien, très intérressant !!
    http://systeme.developpez.com/articl...nce-intrusion/
    De retour parmis vous après 10 ans!!

  4. #164
    Membre éclairé Avatar de fallais
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    Juillet 2006
    Messages
    858
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : Juillet 2006
    Messages : 858
    Points : 783
    Points
    783
    Par défaut
    IDS ca a l'air du lourd ce truc ...
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  5. #165
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Citation Envoyé par Elwyn
    IDS ca a l'air du lourd ce truc ...
    Il n'est pas question de l'utiliser mais de s'inspirer des méthodes de protections...
    Quelques infos au passage :
    • Je profite pour vous signaler (au cas où vous ne l'auriez pas vu) qu'un sujet du même genre que celui-ci a été ouvert dans le forum :
    http://developpez.net/forums/showthread.php?t=175955
    • Un article (ou tuto) sur la sécurité est en cours d'édition et fera la synthèse des solutions.
    • La version 3 de ESPMEM sera prochainement lancée.
    à+
    De retour parmis vous après 10 ans!!

  6. #166
    Membre habitué
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 550
    Points : 193
    Points
    193
    Par défaut
    J'aurais voulu avoir une petite précision sur le vol de sessions.

    Si je ne me trompe ca fonctionne en tappant un id dans l'url.
    Si on fait un test pour voir si la variable à bien été transmise par le formulaire et non directement dans l'URL, grâce à $HTTP_POST_VARS, cela ne permet pas d'éviter le vol de sessions?

    Merci

  7. #167
    Rédacteur

    Avatar de Yogui
    Homme Profil pro
    Directeur technique
    Inscrit en
    Février 2004
    Messages
    13 721
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yonne (Bourgogne)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : Février 2004
    Messages : 13 721
    Points : 29 985
    Points
    29 985
    Par défaut
    Salut

    Tu sous estimes la puissance des formulaires :/
    Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.

  8. #168
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Justement, je travaille sur ce sujet en ce moment.
    J'ai retrouvé quelques liens intéressants :

    http://a-pellegrini.developpez.com/t...hp/session-db/
    http://www.developpez.net/forums/sho...33#post1257433
    De retour parmis vous après 10 ans!!

  9. #169
    Membre habitué
    Profil pro
    Inscrit en
    Septembre 2004
    Messages
    550
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Septembre 2004
    Messages : 550
    Points : 193
    Points
    193
    Par défaut
    Citation Envoyé par Yogui
    Salut

    Tu sous estimes la puissance des formulaires :/
    Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.
    Dommage que tu n'explicites pas un minimum plus, avec un mot clef ou autre.
    Car ma reflexion était plutot centré sur $HTTP_POST_VARS que les formulaires.

  10. #170
    Rédacteur

    Avatar de Yogui
    Homme Profil pro
    Directeur technique
    Inscrit en
    Février 2004
    Messages
    13 721
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yonne (Bourgogne)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : Février 2004
    Messages : 13 721
    Points : 29 985
    Points
    29 985
    Par défaut
    ...

    Comme souvent, j'ai répondu à une autre question que la tienne :/
    Désolé.

    Bref, pour le vol de cookies, il semble que la cause principale soit la faille XSS. Il faut mettre le minimum possible de choses dans le cookie, protéger les données en sortie (htmlentities), les pratiques habituelles quoi.
    --> Utilisez une base de données pour sécuriser vos sessions

  11. #171
    Membre averti Avatar de speedev
    Profil pro
    Développeur Web
    Inscrit en
    Mai 2006
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 051
    Points : 439
    Points
    439
    Par défaut Concernant http://bob.developpez.com/phpauth/
    Bonjour, je voudrais intervenir concernant ce lien posté ici: http://bob.developpez.com/phpauth/

    Concernant précisément le cryptage MD5...
    Tel qu'est présenté l'article je ne vois pas en quoi le cryptage du mot de passe "sécurise" contre le "vol". Note: J'ai bien vu que cet article cite "pour un utilisateur normal".

    Mais :
    Comme seuls les MD5 des mots de passe transitent sur le réseau, la protection des mots de passe des utilisateurs est toujours garantie, ce qui constitue un très bon point au niveau sécurité.
    Ok mais si on récupère la chaine MD5... (puisqu'elle transite sur le réseau)
    Qu'on la renvoie dans un petit formulaire...
    Préalablement rempli d'un accès (sniffé aux heures de pointes lol)...
    Avec éventuellement les sessions nécessaires capturées...

    On est censé être identifiés puisque que la chaine MD5 est comparée directement avec une chaine valide. Mmmh j''ai peut-être mal compris...
    Mais que dans cet article, le passage d'une chaine MD5 est aussi sécurisée que le passage en clair du mot de passe.

    A++
    Développeur Web sénior (2005) spécialisé Symfony2 - Je tiens mon petit blog tranquillement, viens faire un tour http://www.ikonenn.com

  12. #172
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Salut à tous! Mes voeux pour 2007

    Citation Envoyé par speedev
    Ok mais si on récupère la chaine MD5...
    Sur ce point, il ya une faille à connaître impérativement :

    Seul le crytage total de la communication client-serveur peut empêcher un pirate à l'écoute ("man in the middle"). Il s'agit du fameux SSL, autrement dit HTTPS. Il me semble que c'est un cryptage AES dont la clé est fournie via une protection RSA (système de double-clés et certificat). Couplé avec le MD5, c'est très difficile à cracker, voir impossible.

    Le MD5 n'a jamais prétendu pouvoir contrer les sniffers mais seulement conserver les données secrètes, du moins illisibles, même pour le webmaster. Mais effectivement, un sniffer n'a pas besoin du mot de passe en clair puisque le serveur réclame une châine MD5...

    En cliquant sur les liens donnés dans ce topic (je ne sais plus lequel), tu tomberas sur un sujet où il est proposé des méthodes pour solutionner le problème du MD5 que tu soulèves. Mais bon, je ne les ai pas testé car selon moi, MD5 + SSL = sécurité complète, à condition que l'inscription et/ou l'identification du membre soient faites en https.

    Bien sûr, nous avons longtemps cherché quelque chose pour remplacer le SSL... mais c'est pas évident.

    Cordialement, Sub0.
    De retour parmis vous après 10 ans!!

  13. #173
    Membre du Club Avatar de AzertyH
    Profil pro
    Inscrit en
    Mars 2006
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Mars 2006
    Messages : 90
    Points : 67
    Points
    67
    Par défaut
    Salut,

    Le ssl c'est ce qui a de mieux pour la sécurité, mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas. Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web, et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).

    a+

  14. #174
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Citation Envoyé par AzertyH
    mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas.
    http://www.chez.com/winterminator/x509.html
    http://www.developpez.net/forums/sho...d.php?t=176110
    http://www.developpez.net/forums/sho...40#post1072840

    Citation Envoyé par AzertyH
    Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web
    La mise en place d'une connexion SSL n'est pas difficile. Il faut se documenter, c'est tout.

    Citation Envoyé par AzertyH
    et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).
    C'est évident.
    De retour parmis vous après 10 ans!!

  15. #175
    Membre du Club Avatar de AzertyH
    Profil pro
    Inscrit en
    Mars 2006
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : Mars 2006
    Messages : 90
    Points : 67
    Points
    67
    Par défaut
    Ouaip, ok, ça n'a pas l'aire compliqué! C'est à voir.

  16. #176
    Futur Membre du Club
    Profil pro
    Inscrit en
    Juillet 2006
    Messages
    5
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juillet 2006
    Messages : 5
    Points : 5
    Points
    5
    Par défaut
    Bonjour

    J'ai relus avec plaisir ce topic.

    Néanmoins l'idée évoque ci dessous, me semble presque inutile.

    Lors de l'identification, on envoyé deux grains sels.
    Un qui est utilisé pour coder le mot de passe dans la base de données, et l'autre est aléatoire, valide une seule fois.
    La personne saisi son mot de passe.
    Le javascript code le mot de passe md5 avec le grain de sel. (md5(GDS2+md5(pass+GDS1)))
    Le formulaire est transmis au serveur.

    Donc d'accord, le pirate ne connaîtra pas le mot de passe en claire et ne pourra pas renvoyer bêtement le formulaire.
    Néanmoins, il lui est facile de voler la session de l'utilisateur. Même en la régénérant régulièrement, la session ne sera pas mieux protéger.

    Donc cette technique, ne protège pas beaucoup plus...
    Peu donc être mise en place, mais il ne faut pas croire que la sécurité est renforcée.

    Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL

  17. #177
    Expert confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    Décembre 2002
    Messages
    3 573
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 50

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Décembre 2002
    Messages : 3 573
    Points : 4 219
    Points
    4 219
    Par défaut
    Citation Envoyé par arigon
    Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL
    Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.
    De retour parmis vous après 10 ans!!

  18. #178
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 486
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 486
    Points : 6 027
    Points
    6 027
    Par défaut
    Citation Envoyé par Sub0
    Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.
    Amen !...
    Une personne ne peut pas demander d'avoir une application sécurisé et opensource donc il lache rien si lui même il ne fait pas l'effort de son coté de mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  19. #179
    Rédacteur

    Avatar de Yogui
    Homme Profil pro
    Directeur technique
    Inscrit en
    Février 2004
    Messages
    13 721
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yonne (Bourgogne)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : Février 2004
    Messages : 13 721
    Points : 29 985
    Points
    29 985
    Par défaut
    Citation Envoyé par berceker united
    mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.
    Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL

  20. #180
    Expert éminent
    Avatar de berceker united
    Profil pro
    SQL
    Inscrit en
    Février 2005
    Messages
    3 486
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : SQL
    Secteur : Finance

    Informations forums :
    Inscription : Février 2005
    Messages : 3 486
    Points : 6 027
    Points
    6 027
    Par défaut
    Citation Envoyé par Yogui
    Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL
    Peut être, je parlais surtout des hebergeurs proposant un zone sécurisé.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

Discussions similaires

  1. aide pour un espace membre
    Par cultureman dans le forum Langage
    Réponses: 4
    Dernier message: 03/09/2013, 16h54
  2. [Forum] Quel forum pour mon espace membre
    Par okoweb dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 1
    Dernier message: 28/08/2008, 01h12
  3. [Sécurité] Créer un espace membre
    Par Stouille89 dans le forum Langage
    Réponses: 3
    Dernier message: 13/03/2007, 00h49
  4. [Sécurité] Gestion d'espace membre
    Par pas30 dans le forum Langage
    Réponses: 11
    Dernier message: 26/12/2006, 20h18
  5. [Sécurité] Réalisation d'un espace membre
    Par Goundy dans le forum Langage
    Réponses: 3
    Dernier message: 30/01/2006, 20h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo