Publicité
+ Répondre à la discussion
Page 9 sur 10 PremièrePremière ... 5678910 DernièreDernière
Affichage des résultats 161 à 180 sur 197
  1. #161
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Superbe explication swoög !
    Rodolphe_1940, même si ton hébergement est "hacké" et que ton site est alors devenu n'importe quoi pendant la nuit, cela ne signifie pas que la pirate est récupérer tes bases de données... Si tu comptes implémenter SSL, saches que ce système sert principalement à crypter la communication (RSA à la connexion puis EAS il me semble) pour contrer le pirate en écoute sur le réseau (faille appellée "man in the middle"). Autrement dit, il faut continuer à sécuriser ton espace membre; SSL est un plus et pas des moindres puisqu'il est très difficile de contrer l'écoute réseau en utilisant php & javascript (il n'existe pas d'alternative à SSL). à+

  2. #162
    Membre chevronné Avatar de Elwyn
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    juillet 2006
    Messages
    856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : juillet 2006
    Messages : 856
    Points : 674
    Points
    674

    Par défaut

    Citation Envoyé par Sub0
    Je n'adère pas, car ce n'est pas justifié pour le moment!
    Ooh tu sais, si quelqu'un veut hacker son site, il le fera mais en meme temps, identification par SESSIONS, COOKIES et criptage MD5 ca doit suffir je pense.
    Ne pas oublié les htmlentities, BBCODE et tout le bazard pour éviter que des petits noobs s'amusent a bousiller les requetes SQL et voila
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  3. #163
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Je viens de trouver ce lien, très intérressant !!
    http://systeme.developpez.com/articl...nce-intrusion/

  4. #164
    Membre chevronné Avatar de Elwyn
    Homme Profil pro
    Ingénieur systèmes et réseaux
    Inscrit en
    juillet 2006
    Messages
    856
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur systèmes et réseaux

    Informations forums :
    Inscription : juillet 2006
    Messages : 856
    Points : 674
    Points
    674

    Par défaut

    IDS ca a l'air du lourd ce truc ...
    Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
    Nicolas Jaar, Paul Kalkbrenner, Marek Hermann

  5. #165
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Citation Envoyé par Elwyn
    IDS ca a l'air du lourd ce truc ...
    Il n'est pas question de l'utiliser mais de s'inspirer des méthodes de protections...
    Quelques infos au passage :
    • Je profite pour vous signaler (au cas où vous ne l'auriez pas vu) qu'un sujet du même genre que celui-ci a été ouvert dans le forum :
    http://developpez.net/forums/showthread.php?t=175955
    • Un article (ou tuto) sur la sécurité est en cours d'édition et fera la synthèse des solutions.
    • La version 3 de ESPMEM sera prochainement lancée.
    à+

  6. #166
    Membre actif
    Inscrit en
    septembre 2004
    Messages
    550
    Détails du profil
    Informations forums :
    Inscription : septembre 2004
    Messages : 550
    Points : 150
    Points
    150

    Par défaut

    J'aurais voulu avoir une petite précision sur le vol de sessions.

    Si je ne me trompe ca fonctionne en tappant un id dans l'url.
    Si on fait un test pour voir si la variable à bien été transmise par le formulaire et non directement dans l'URL, grâce à $HTTP_POST_VARS, cela ne permet pas d'éviter le vol de sessions?

    Merci

  7. #167
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    Salut

    Tu sous estimes la puissance des formulaires :/
    Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.

  8. #168
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Justement, je travaille sur ce sujet en ce moment.
    J'ai retrouvé quelques liens intéressants :

    http://a-pellegrini.developpez.com/t...hp/session-db/
    http://www.developpez.net/forums/sho...33#post1257433

  9. #169
    Membre actif
    Inscrit en
    septembre 2004
    Messages
    550
    Détails du profil
    Informations forums :
    Inscription : septembre 2004
    Messages : 550
    Points : 150
    Points
    150

    Par défaut

    Citation Envoyé par Yogui
    Salut

    Tu sous estimes la puissance des formulaires :/
    Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.
    Dommage que tu n'explicites pas un minimum plus, avec un mot clef ou autre.
    Car ma reflexion était plutot centré sur $HTTP_POST_VARS que les formulaires.

  10. #170
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    ...

    Comme souvent, j'ai répondu à une autre question que la tienne :/
    Désolé.

    Bref, pour le vol de cookies, il semble que la cause principale soit la faille XSS. Il faut mettre le minimum possible de choses dans le cookie, protéger les données en sortie (htmlentities), les pratiques habituelles quoi.
    --> Utilisez une base de données pour sécuriser vos sessions

  11. #171
    Membre éclairé Avatar de speedev
    Développeur Web
    Inscrit en
    mai 2006
    Messages
    1 051
    Détails du profil
    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : mai 2006
    Messages : 1 051
    Points : 364
    Points
    364

    Par défaut Concernant http://bob.developpez.com/phpauth/

    Bonjour, je voudrais intervenir concernant ce lien posté ici: http://bob.developpez.com/phpauth/

    Concernant précisément le cryptage MD5...
    Tel qu'est présenté l'article je ne vois pas en quoi le cryptage du mot de passe "sécurise" contre le "vol". Note: J'ai bien vu que cet article cite "pour un utilisateur normal".

    Mais :
    Comme seuls les MD5 des mots de passe transitent sur le réseau, la protection des mots de passe des utilisateurs est toujours garantie, ce qui constitue un très bon point au niveau sécurité.
    Ok mais si on récupère la chaine MD5... (puisqu'elle transite sur le réseau)
    Qu'on la renvoie dans un petit formulaire...
    Préalablement rempli d'un accès (sniffé aux heures de pointes lol)...
    Avec éventuellement les sessions nécessaires capturées...

    On est censé être identifiés puisque que la chaine MD5 est comparée directement avec une chaine valide. Mmmh j''ai peut-être mal compris...
    Mais que dans cet article, le passage d'une chaine MD5 est aussi sécurisée que le passage en clair du mot de passe.

    A++
    Vieux-jeune développeur Web qui tient tranquillement son petit blog http://blog.ikonenn.com

  12. #172
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Salut à tous! Mes voeux pour 2007

    Citation Envoyé par speedev
    Ok mais si on récupère la chaine MD5...
    Sur ce point, il ya une faille à connaître impérativement :

    Seul le crytage total de la communication client-serveur peut empêcher un pirate à l'écoute ("man in the middle"). Il s'agit du fameux SSL, autrement dit HTTPS. Il me semble que c'est un cryptage AES dont la clé est fournie via une protection RSA (système de double-clés et certificat). Couplé avec le MD5, c'est très difficile à cracker, voir impossible.

    Le MD5 n'a jamais prétendu pouvoir contrer les sniffers mais seulement conserver les données secrètes, du moins illisibles, même pour le webmaster. Mais effectivement, un sniffer n'a pas besoin du mot de passe en clair puisque le serveur réclame une châine MD5...

    En cliquant sur les liens donnés dans ce topic (je ne sais plus lequel), tu tomberas sur un sujet où il est proposé des méthodes pour solutionner le problème du MD5 que tu soulèves. Mais bon, je ne les ai pas testé car selon moi, MD5 + SSL = sécurité complète, à condition que l'inscription et/ou l'identification du membre soient faites en https.

    Bien sûr, nous avons longtemps cherché quelque chose pour remplacer le SSL... mais c'est pas évident.

    Cordialement, Sub0.

  13. #173
    Nouveau Membre du Club Avatar de AzertyH
    Profil pro
    Inscrit en
    mars 2006
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : mars 2006
    Messages : 90
    Points : 34
    Points
    34

    Par défaut

    Salut,

    Le ssl c'est ce qui a de mieux pour la sécurité, mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas. Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web, et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).

    a+

  14. #174
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Citation Envoyé par AzertyH
    mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas.
    http://www.chez.com/winterminator/x509.html
    http://www.developpez.net/forums/sho...d.php?t=176110
    http://www.developpez.net/forums/sho...40#post1072840

    Citation Envoyé par AzertyH
    Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web
    La mise en place d'une connexion SSL n'est pas difficile. Il faut se documenter, c'est tout.

    Citation Envoyé par AzertyH
    et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).
    C'est évident.

  15. #175
    Nouveau Membre du Club Avatar de AzertyH
    Profil pro
    Inscrit en
    mars 2006
    Messages
    90
    Détails du profil
    Informations personnelles :
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations forums :
    Inscription : mars 2006
    Messages : 90
    Points : 34
    Points
    34

    Par défaut

    Ouaip, ok, ça n'a pas l'aire compliqué! C'est à voir.

  16. #176
    Invité de passage
    Inscrit en
    juillet 2006
    Messages
    5
    Détails du profil
    Informations forums :
    Inscription : juillet 2006
    Messages : 5
    Points : 2
    Points
    2

    Par défaut

    Bonjour

    J'ai relus avec plaisir ce topic.

    Néanmoins l'idée évoque ci dessous, me semble presque inutile.

    Lors de l'identification, on envoyé deux grains sels.
    Un qui est utilisé pour coder le mot de passe dans la base de données, et l'autre est aléatoire, valide une seule fois.
    La personne saisi son mot de passe.
    Le javascript code le mot de passe md5 avec le grain de sel. (md5(GDS2+md5(pass+GDS1)))
    Le formulaire est transmis au serveur.

    Donc d'accord, le pirate ne connaîtra pas le mot de passe en claire et ne pourra pas renvoyer bêtement le formulaire.
    Néanmoins, il lui est facile de voler la session de l'utilisateur. Même en la régénérant régulièrement, la session ne sera pas mieux protéger.

    Donc cette technique, ne protège pas beaucoup plus...
    Peu donc être mise en place, mais il ne faut pas croire que la sécurité est renforcée.

    Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL

  17. #177
    Expert Confirmé
    Avatar de Sub0
    Homme Profil pro
    Développeur Web
    Inscrit en
    décembre 2002
    Messages
    3 516
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 41

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : décembre 2002
    Messages : 3 516
    Points : 3 639
    Points
    3 639

    Par défaut

    Citation Envoyé par arigon
    Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL
    Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.

  18. #178
    Expert Confirmé
    Avatar de berceker united
    Profil pro
    Développeur informatique
    Inscrit en
    février 2005
    Messages
    3 143
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2005
    Messages : 3 143
    Points : 3 986
    Points
    3 986

    Par défaut

    Citation Envoyé par Sub0
    Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.
    Amen !...
    Une personne ne peut pas demander d'avoir une application sécurisé et opensource donc il lache rien si lui même il ne fait pas l'effort de son coté de mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

  19. #179
    Rédacteur
    Avatar de Yogui
    Homme Profil pro Guillaume Rossolini
    Directeur technique
    Inscrit en
    février 2004
    Messages
    13 719
    Détails du profil
    Informations personnelles :
    Nom : Homme Guillaume Rossolini
    Localisation : France

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : février 2004
    Messages : 13 719
    Points : 26 976
    Points
    26 976

    Par défaut

    Citation Envoyé par berceker united
    mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.
    Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL

  20. #180
    Expert Confirmé
    Avatar de berceker united
    Profil pro
    Développeur informatique
    Inscrit en
    février 2005
    Messages
    3 143
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : février 2005
    Messages : 3 143
    Points : 3 986
    Points
    3 986

    Par défaut

    Citation Envoyé par Yogui
    Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL
    Peut être, je parlais surtout des hebergeurs proposant un zone sécurisé.
    Mon avatar ? Ce n'est rien, c'est juste la tête que je fais lorsque je vois un code complètement frappa dingue !...

Liens sociaux

Règles de messages

  • Vous ne pouvez pas créer de nouvelles discussions
  • Vous ne pouvez pas envoyer des réponses
  • Vous ne pouvez pas envoyer des pièces jointes
  • Vous ne pouvez pas modifier vos messages
  •