Discussion :

[sophieweb]

Bonjour,

Je précise que je ne développe pas, mais m'occupe de la partie marketing. Je cherche à sécuriser des accès clients via login et mot de passe : nous utilisons JAVA mais cela pose de nombreux problèmes aux clients qui ont des difficultés à installer JAVA... A part Flash Player, qu'est-ce qui pourrait garantir un niveau de sécurité élevé? J'ai aussi étudié des solutions comme inwebo qui sont hors de prix pour une PME...

Sur les forums marketing web personne ne sait ne sait et les agences web n'ont pas de solution à me proposer à part avoir un accès classique (éventuellement avec un code SMS) mais qui ne permet pas vraiment de sécuriser le nombre de postes utilisés par exemple...

Merci en tout cas pour vos éventuels conseils.

[fr1man]

Que cherches-tu à faire ?
A sécuriser un site web ?
Tu parles d'Applet Java ?

[sophieweb]

Oui, l'idée est de sécuriser la connexion a une partie de notre site (accès catalogue, prix...) en déterminant une contrainte d'un contrôle par machine...

[pims42]

Il existe de nombreux procédés pour gérer l'accès (login + pwd) à une partie d'un site web : mais je ne comprends pas très bien ton histoire de nbr de postes?

[Carhiboux]

Qu'est-ce que tu appelles "une contrainte d'un contrôle par machine"?

Et qu'est-ce que java ne fait pas bien là dedans?

[sophieweb]

en fait en utilisant Java on peut ajouter une contrainte par rapport à un simple login + mot de passe classique, on peut contrôler la machine qui se connecter. Par exemple pour un accès, le client ne peut se connecter qu'avec la machine identifiée lors de la validation de son inscription.
Des solutions payantes comme InWebo Helium permettent de contrôler le nombre de postes utilisant un même accès...
Nous recherchons un maximum de sécurité/contrôle pour ces accès, via une technologie la plus légère possible pour les utilisateurs...
Installer Java pour l’exécution du module de connexion n'est pas toujours évident et pose souvent des problèmes aux utilisateurs, parfois il est vrai, moins avertis...

Dsl si les termes ne sont pas précis, je crains que de toute façon nous n'ayons pas de solution de rechange véritablement équivalente et moins contraignante (et accessoirement au coût limité)...

[JoeChip]

Python. Django.

[fredoche]

utiliser des certificats clients, ça sert à ça.

tu les crées, tu peux les révoquer, tu en contrôles le nombre...
c'est supporté en standard par les systèmes et les navigateurs.

Ca s'appelle le Public Key Infrastructure

[tchize_]

Et même sans délivrer des certificats aux clients (ce qui va autant poser problème à installer chez les clients sans compétences que java), tu peux simplement utiliser un couple login/password, et coté serveur identifier facilement le nombre de machines connectée.

2 IPs différentes -> 2 machines
2 OS différents -> 2 machines
2 Navigateurs différents -> probablement 2 machines.

Il existe aussi des techniques assez simple pour identifier de manière unique un navigateur, jette un oeil là dessus
https://panopticlick.eff.org/index.php?action=log&js=yes


Tu peux aussi installer un cookie sur la machine, que tu renouvelle à chaque login, pour la tracer.

Ce ne sont pas les solution pur web qui manquent à ce sujet

[tchize_]

Note que toutes ces techniques peuvent assez facilement être contournées. Finalement, une liste d'ips approuvée est encore la manière la plus difficile à détourner, car il faut un accès physique au réseau du client pour s'y brancher (ou wifi si il a pourri son installation)

Tu combine ip, identification du navigateur et tracking cookie, ca devrais être dur de faire rentrer de nouvelles machines sans complicité chez le client.

Chez google, si ton navigateur n'a pas un cookie trancant une activité récente, par exemple, et / ou que l'ip n'est pas dans une liste d'ip déjà reconnue, il demande confirmation de ton login en t'envoyant un token à retapper par SMS...
Du coup, même en choppant mon mot de passe, faut aussi chopper mon tél pour me piquer mon compte gmail.

[fredoche]

ce qui va autant poser problème à installer chez les clients sans compétences que java

Franchement 2 liens à cliquer pour le client, le premier pour générer la clef privée, le 2e pour installer le certificat, je crois qu'à l'heure actuelle, c'est abordable.

Maintenant on en pense ce qu'on en veut.

Moi, je m'en sers avec des gens qui sont vraiment des utilisateurs lambda, vraiment sans compétences informatiques particulières, et ça se passe très bien.

Et puis niveau sécurité ça tient la route il me semble, plutôt que des solutions alambiquées.

[tchize_]

Franchement 2 liens à cliquer pour le client, le premier pour générer la clef privée, le 2e pour installer le certificat, je crois qu'à l'heure actuelle, c'est abordable.

Je rappelle la question d'origine:

cela pose de nombreux problèmes aux clients qui ont des difficultés à installer JAVA

Vu que ça s'intalle en un clic java, depuis le navigateur, là où il est écrit "votre navigateur ne support pas java, cliquez ici pour installer le plugin" et que ça peux se mettre à jour tout seul....

Je crois que non, ce n'est pas si facilement abordable, même si je suis d'accord avec toi, c'est une solution simple et élégante pour résoudre le problème posé de l'authentification du client.