Discussion :

[totoen]

Bonjour,

Voila n'y connaissant pas grand Chose en sécurité j'aimerais savoir si ce que me raconte est vrai.

Nous avons développé une application web pour des Clients précis identifié par une IP fixe.

Le front-end est donc accesible qu'a certaine IP es-ce que cette sécurité est suffisante?
Respectivement es-ce un degré de sécurité acceptable au jour d'aujourd'hui?

Biensur après y a une page de login.

Le site est accessible en Https uniquement.

Merci

[Tagashy]

ça dépend du contexte j'ai envie de te dire, une sécurité par adresse ip ça peut se bypasser (arp poisoning, etc) ensuite si tu te base sur adresse IP publique je pense que ça doit être plus dur qu'un simple arp poisoning, mais ça dois rester envisageable.
https+authentification me semble en revanche une bonne mesure de protection des accès, reste à savoir si le site en lui-même est bien conçue et ne permet pas une injection sql sur la page d'authentification (autant mettre un boutton PWN ME).

Une sécurité suffisante, comment dire rien n'est jamais réellement sécurisé... et suffisant est objectif, réfléchi à qui peut vouloir t’attaquer, quel sont ces motivations et quels moyen il peut avoir.
Est-ce un script kiddie qui aura juste des outil automatiser.
Est-ce un véritable black hat qui effectue des scans en vue de trouver des futur bot pour son réseau.
Est-ce une entreprise concurrente qui embaucheras une vrai équipe qui seront motivé et auront le temps.

Tout dépend de contre qui (ou quel catégorie de personne), tu cherche à te protéger. (D’ailleurs les mesures à mettre en place sont différente d'une catégorie à une autre)
pause toi ces questions, et peut être pourra tu répondre tout seul à ta question.

[ABCIWEB]

C'est l'authentification par login/pass qui est la seule vraiment sécurisée, surtout avec https qui empêche le vol des sessions. L'ip peut-être une mesure complémentaire intéressante mais pas suffisante en elle-même (et contraignante à mettre en place).

[fredoche]

Je pense qu'une sécurité par IP ne sert strictement à rien face à des attaques de types XSS et surtout CSRF.
De plus c'est partir du principe que tous les utilisateurs de ces IP s sont fiables, ce qui est un non-sens en terme de sécurité.

[totoen]

Aie pas vu que vous m'aviez répondu , je vous en remercie.

Donc dans l'idée c'est des clients connue qui n'augmente normalement pas (l'État).

Oui alors biensur que après y a une page de login md5 encodé avec un Salt et que l'appli n'est dispo qu'en Https.

On m'as un peu survendu c'est restriction par IP et ça me paraissait pas si insurmontable que ça.

Je voulais donc avoir d'autres avis , donc nickel je faire des recherches sur les attaques mentionnées.

[SkyZoThreaD]

ça dépend du contexte j'ai envie de te dire, une sécurité par adresse ip ça peut se bypasser (arp poisoning, etc) ensuite si tu te base sur adresse IP publique je pense que ça doit être plus dur qu'un simple arp poisoning, mais ça dois rester envisageable.

A priori le wan étant du point à point, le poisoning ARP semble impossible. Sauf peut-être avec un accès physique au NRA... Par contre il existe bien des techniques d'usurpation et de ce fait, il n'est pas recommandé de faire confiance à ce type de filtrages Lien Wiki

[fredoche]

Pour tout ce qui concerne IP, le protocole de routage est à la base BGP et celui n'est pas un protocole sur.
https://fr.wikipedia.org/wiki/Sécuri...teway_Protocol
Il est possible de faire du détournement de préfixe, de l'usurpation de préfixes.

Après cela concerne des AS, donc des réseaux entiers, mais si on parle d'une appli qui concerne l'état, les IPs appartiennent probablement à des AS et elles peuvent être détournées.

[Spartacusply]

Je ne ferai que rajouter à tout ce qui a été dit au dessus : c'est une très bonne idée de faire une restriction par IP (et pas si contraignant que ça, je vois pas trop où se situe la difficulté...) mais en aucun cas suffisante .

Si le site est hébergé en interne sur le réseau local du client, il est par contre beaucoup plus sécurisé si cela est possible de restreindre l'accès au site uniquement via ce réseau local.