[Sécurité] Sécurité totale pour un espace membre [Débat]

[Sub0]

Superbe explication swoög !
Rodolphe_1940, même si ton hébergement est "hacké" et que ton site est alors devenu n'importe quoi pendant la nuit, cela ne signifie pas que la pirate est récupérer tes bases de données... Si tu comptes implémenter SSL, saches que ce système sert principalement à crypter la communication (RSA à la connexion puis EAS il me semble) pour contrer le pirate en écoute sur le réseau (faille appellée "man in the middle"). Autrement dit, il faut continuer à sécuriser ton espace membre; SSL est un plus et pas des moindres puisqu'il est très difficile de contrer l'écoute réseau en utilisant php & javascript (il n'existe pas d'alternative à SSL). à+

[Elwyn]

Citation:

Envoyé par Sub0

Je n'adère pas, car ce n'est pas justifié pour le moment!

Ooh tu sais, si quelqu'un veut hacker son site, il le fera mais en meme temps, identification par SESSIONS, COOKIES et criptage MD5 ca doit suffir je pense.
Ne pas oublié les htmlentities, BBCODE et tout le bazard pour éviter que des petits noobs s'amusent a bousiller les requetes SQL et voila

[Sub0]

Je viens de trouver ce lien, très intérressant !!
http://systeme.developpez.com/articl...nce-intrusion/

[Elwyn]

IDS ca a l'air du lourd ce truc ...

[Sub0]

Citation:

Envoyé par Elwyn

IDS ca a l'air du lourd ce truc ...

Il n'est pas question de l'utiliser mais de s'inspirer des méthodes de protections...
Quelques infos au passage :
• Je profite pour vous signaler (au cas où vous ne l'auriez pas vu) qu'un sujet du même genre que celui-ci a été ouvert dans le forum :
http://developpez.net/forums/showthread.php?t=175955
• Un article (ou tuto) sur la sécurité est en cours d'édition et fera la synthèse des solutions.
• La version 3 de ESPMEM sera prochainement lancée.
à+

[masseur]

J'aurais voulu avoir une petite précision sur le vol de sessions.

Si je ne me trompe ca fonctionne en tappant un id dans l'url.
Si on fait un test pour voir si la variable à bien été transmise par le formulaire et non directement dans l'URL, grâce à $HTTP_POST_VARS, cela ne permet pas d'éviter le vol de sessions?

Merci

[Yogui]

Salut

Tu sous estimes la puissance des formulaires :/
Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.

[Sub0]

Justement, je travaille sur ce sujet en ce moment.
J'ai retrouvé quelques liens intéressants :

http://a-pellegrini.developpez.com/t...hp/session-db/
http://www.developpez.net/forums/sho...33#post1257433

[masseur]

Citation:

Envoyé par Yogui

Salut

Tu sous estimes la puissance des formulaires :/
Pour faire court, non, cela ne suffit pas. Je n'entrerai pas dans les détails, c'est expliqué dans tous les bons tutoriels sur le sujet.

Dommage que tu n'explicites pas un minimum plus, avec un mot clef ou autre.
Car ma reflexion était plutot centré sur $HTTP_POST_VARS que les formulaires.

[Yogui]

...

Comme souvent, j'ai répondu à une autre question que la tienne :/
Désolé.

Bref, pour le vol de cookies, il semble que la cause principale soit la faille XSS. Il faut mettre le minimum possible de choses dans le cookie, protéger les données en sortie (htmlentities), les pratiques habituelles quoi.
--> Utilisez une base de données pour sécuriser vos sessions

[speedev]

Bonjour, je voudrais intervenir concernant ce lien posté ici: http://bob.developpez.com/phpauth/

Concernant précisément le cryptage MD5...
Tel qu'est présenté l'article je ne vois pas en quoi le cryptage du mot de passe "sécurise" contre le "vol". Note: J'ai bien vu que cet article cite "pour un utilisateur normal".

Mais :

Citation:

Comme seuls les MD5 des mots de passe transitent sur le réseau, la protection des mots de passe des utilisateurs est toujours garantie, ce qui constitue un très bon point au niveau sécurité.

Ok mais si on récupère la chaine MD5... (puisqu'elle transite sur le réseau)
Qu'on la renvoie dans un petit formulaire...
Préalablement rempli d'un accès (sniffé aux heures de pointes lol)...
Avec éventuellement les sessions nécessaires capturées...

On est censé être identifiés puisque que la chaine MD5 est comparée directement avec une chaine valide. Mmmh j''ai peut-être mal compris...
Mais que dans cet article, le passage d'une chaine MD5 est aussi sécurisée que le passage en clair du mot de passe.

A++

[Sub0]

Salut à tous! Mes voeux pour 2007

Citation:

Envoyé par speedev

Ok mais si on récupère la chaine MD5...

Sur ce point, il ya une faille à connaître impérativement :

Seul le crytage total de la communication client-serveur peut empêcher un pirate à l'écoute ("man in the middle"). Il s'agit du fameux SSL, autrement dit HTTPS. Il me semble que c'est un cryptage AES dont la clé est fournie via une protection RSA (système de double-clés et certificat). Couplé avec le MD5, c'est très difficile à cracker, voir impossible.

Le MD5 n'a jamais prétendu pouvoir contrer les sniffers mais seulement conserver les données secrètes, du moins illisibles, même pour le webmaster. Mais effectivement, un sniffer n'a pas besoin du mot de passe en clair puisque le serveur réclame une châine MD5...

En cliquant sur les liens donnés dans ce topic (je ne sais plus lequel), tu tomberas sur un sujet où il est proposé des méthodes pour solutionner le problème du MD5 que tu soulèves. Mais bon, je ne les ai pas testé car selon moi, MD5 + SSL = sécurité complète, à condition que l'inscription et/ou l'identification du membre soient faites en https.

Bien sûr, nous avons longtemps cherché quelque chose pour remplacer le SSL... mais c'est pas évident.

Cordialement, Sub0.

[AzertyH]

Salut,

Le ssl c'est ce qui a de mieux pour la sécurité, mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas. Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web, et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).

a+

[Sub0]

Citation:

Envoyé par AzertyH

mais ce certificat est payant et c'est pourquoi, je ne l'utiliserai pas.

http://www.chez.com/winterminator/x509.html
http://www.developpez.net/forums/sho...d.php?t=176110
http://www.developpez.net/forums/sho...40#post1072840

Citation:

Envoyé par AzertyH

Je pense que pour mettre en oeuvre une telle sécurité, il faut d'abord pas mal d'expérience dans le développement de site web

La mise en place d'une connexion SSL n'est pas difficile. Il faut se documenter, c'est tout.

Citation:

Envoyé par AzertyH

et ensuite, il faudrait que le site en vaut la peine (trafique, données très confidencielles).

C'est évident.

[AzertyH]

Ouaip, ok, ça n'a pas l'aire compliqué! C'est à voir.

[arigon]

Bonjour

J'ai relus avec plaisir ce topic.

Néanmoins l'idée évoque ci dessous, me semble presque inutile.

Lors de l'identification, on envoyé deux grains sels.
Un qui est utilisé pour coder le mot de passe dans la base de données, et l'autre est aléatoire, valide une seule fois.
La personne saisi son mot de passe.
Le javascript code le mot de passe md5 avec le grain de sel. (md5(GDS2+md5(pass+GDS1)))
Le formulaire est transmis au serveur.

Donc d'accord, le pirate ne connaîtra pas le mot de passe en claire et ne pourra pas renvoyer bêtement le formulaire.
Néanmoins, il lui est facile de voler la session de l'utilisateur. Même en la régénérant régulièrement, la session ne sera pas mieux protéger.

Donc cette technique, ne protège pas beaucoup plus...
Peu donc être mise en place, mais il ne faut pas croire que la sécurité est renforcée.

Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL

[Sub0]

Citation:

Envoyé par arigon

Ps: je précise que c'était dans le cas où l'on ne voulait pas utiliser SSL

Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.

[berceker united]

Citation:

Envoyé par Sub0

Nous sommes bien d'accord (en ce qui me concerne en tous cas). Il est inutile de vouloir se passer de SSL pour essayer de contrer le piratage par écoute du réseau (man in the middle). Toutes les propositions d'algo que j'ai pu trouver se sont avérées inefficaces. Selon moi, SSL reste la seule solution vraiment fiable. Inutile donc de compliquer les choses et risquer des bugs à vouloir réinventer la roue.

Amen !...
Une personne ne peut pas demander d'avoir une application sécurisé et opensource donc il lache rien si lui même il ne fait pas l'effort de son coté de mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.

[Yogui]

Citation:

Envoyé par berceker united

mettre de l'argent pour le SSL qui ne coûte pas chere à l'année.

Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL

[berceker united]

Citation:

Envoyé par Yogui

Cela coûte tellement peu cher que c'est gratuit... Du moins si tu parles de l'encryption par SSL

Peut être, je parlais surtout des hebergeurs proposant un zone sécurisé.