[Sécurité] Sécurité : Tout baser sur REMOTE_HOST ? [Résolu]

bigsister · 05/06/2006, 15h59

salut,

J'ai une question :

- Un serveur A doit envoyer un formulaire à un serveur B.
- B ne doit accèpter les formulaires que de A.

B peut-il se contenter de vérifier que le REMOTE_HOST (son adresse IP ou son nom de domaine) du serveur qui l'appel correspond bien à A ?

C'est à dire est-ce qu'un internaute pourrait heberger un formulaire en local, puis en modifiant son fichier host directement sur sa machine pourrait se faire passer pour A ? Ou de façon plus complexe un internaute peut-il changer les packets qu'il envoit à mon serveur B pour se faire passer pour A ?

doctorrock · 05/06/2006, 16h45

Ah, je tiens à t'assurer que ceci est tout à fait faisable.
J'ai moi meme telechargé des extensions Firefox dont je tairai le nom, qui permettent à chaque requete HTTP de modifier tous les paramètres du header, y compris le HTTP_REFFER ou HTTP_HOST. ( et qui permettent de s'amuser gaiement avec les nombreux formulaires non protégés sur le web, ceci dit, je suis programmeur/developpeur, pas pirate, hein

)

Bien que ca soit très rare, et reservé aux pirates ( ou du moins aux personnes ayant une experience technique du web relativement poussée ), si tu veux absolument sécuriser un formulaire, utilise le "tagguage", mais ca ne fonctionne que sur un seul et unique host (utilisation des sessions ).

Plus d'infos de la part de Chris Shiflett : ici http://shiflett.org/articles/foiling-cross-site-attacks

berceker united · 05/06/2006, 17h39

Je confirme que c'est extrement facile de faire croire ce que tu veux via les requetes http. Maintenant il sagit de savoir ce qu'il attend comme adresse IP donc et un internaute ne peut pas le devener seul.
Si le server B attend comme adresse IP 192.168.250.36 il faudra faire une sacré boucle donc certe tu peux utiliser cette methode si les informations ne sont divulgé. Il faudrait l'adresse IP plus d'autre information pour augmenter ces chance mais si jamais quelqu'un renifle la trame HTTP entre le serveur A et B là c'est mort.
Sinon essay de voir s'il y a pas un module pour cripter d'un coté et decripter de l'autre mais bon même ça c'est pas fiable. A toi de voir si les données son sensible ou non.

bigsister · 05/06/2006, 20h36

ok dac merci de vos réponses.
en fait moi je ne procède pas comme ça, j'utilise dans 99.99% des cas un système de clef privée et de hash + https comme ça je suis tranquille

J'ai simplement vu ça aujourd'hui dans une appli opensource dont je tairai donc le nom...

wamania · 06/06/2006, 12h30

si c'est une appli open source, vaut mieux le dire.
l'idée n'est pas de faire de la mauvaise pub, mais de révéler des failles (plutot sensible ici d'ailleurs)

05/06/2006, 15h59	#1
bigsister Membre actif OLE MAIN() Développeur Web Inscription : octobre 2002 Messages : 296 Détails du profil Informations personnelles : Nom : OLE MAIN() Localisation : France Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : octobre 2002 Messages : 296 Points : 191 Points : 191	[Sécurité] Sécurité : Tout baser sur REMOTE_HOST ? salut, J'ai une question : - Un serveur A doit envoyer un formulaire à un serveur B. - B ne doit accèpter les formulaires que de A. B peut-il se contenter de vérifier que le REMOTE_HOST (son adresse IP ou son nom de domaine) du serveur qui l'appel correspond bien à A ? C'est à dire est-ce qu'un internaute pourrait heberger un formulaire en local, puis en modifiant son fichier host directement sur sa machine pourrait se faire passer pour A ? Ou de façon plus complexe un internaute peut-il changer les packets qu'il envoit à mon serveur B pour se faire passer pour A ?
	00

06/06/2006, 12h30	#5
wamania Rédacteur Développeur Web Inscription : juillet 2003 Messages : 676 Détails du profil Informations personnelles : Âge : 30 Localisation : France, Gironde (Aquitaine) Informations professionnelles : Activité : Développeur Web Informations forums : Inscription : juillet 2003 Messages : 676 Points : 678 Points : 678	si c'est une appli open source, vaut mieux le dire. l'idée n'est pas de faire de la mauvaise pub, mais de révéler des failles (plutot sensible ici d'ailleurs) __________________ Articles sur developpez.com - Gestion des exceptions avec PHP5 - Chiffrement et hash en PHP contre l'attaque Man in the middle - Aedituus - Espace membre sécurisé en PHP5 Lithium : ORM ActiveRecord PHP5 extrêmement léger
	00

05/06/2006, 16h45	#2
doctorrock Rédacteur Julien Pauli Architecte de système d'information Inscription : mai 2006 Messages : 597 Détails du profil Informations personnelles : Nom : Julien Pauli Âge : 29 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Architecte de système d'information Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : mai 2006 Messages : 597 Points : 5 015 Points : 5 015	Ah, je tiens à t'assurer que ceci est tout à fait faisable. J'ai moi meme telechargé des extensions Firefox dont je tairai le nom, qui permettent à chaque requete HTTP de modifier tous les paramètres du header, y compris le HTTP_REFFER ou HTTP_HOST. ( et qui permettent de s'amuser gaiement avec les nombreux formulaires non protégés sur le web, ceci dit, je suis programmeur/developpeur, pas pirate, hein ) Bien que ca soit très rare, et reservé aux pirates ( ou du moins aux personnes ayant une experience technique du web relativement poussée ), si tu veux absolument sécuriser un formulaire, utilise le "tagguage", mais ca ne fonctionne que sur un seul et unique host (utilisation des sessions ). Plus d'infos de la part de Chris Shiflett : ici http://shiflett.org/articles/foiling-cross-site-attacks
	00

05/06/2006, 17h39	#3
berceker united Expert Confirmé Développeur informatique Inscription : février 2005 Messages : 2 982 Détails du profil Informations personnelles : Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Développeur informatique Informations forums : Inscription : février 2005 Messages : 2 982 Points : 3 567 Points : 3 567	Je confirme que c'est extrement facile de faire croire ce que tu veux via les requetes http. Maintenant il sagit de savoir ce qu'il attend comme adresse IP donc et un internaute ne peut pas le devener seul. Si le server B attend comme adresse IP 192.168.250.36 il faudra faire une sacré boucle donc certe tu peux utiliser cette methode si les informations ne sont divulgé. Il faudrait l'adresse IP plus d'autre information pour augmenter ces chance mais si jamais quelqu'un renifle la trame HTTP entre le serveur A et B là c'est mort. Sinon essay de voir s'il y a pas un module pour cripter d'un coté et decripter de l'autre mais bon même ça c'est pas fiable. A toi de voir si les données son sensible ou non.
	00

05/06/2006, 20h36	#4
bigsister Membre actif OLE MAIN() Développeur Web Inscription : octobre 2002 Messages : 296 Détails du profil Informations personnelles : Nom : OLE MAIN() Localisation : France Informations professionnelles : Activité : Développeur Web Secteur : High Tech - Multimédia et Internet Informations forums : Inscription : octobre 2002 Messages : 296 Points : 191 Points : 191	ok dac merci de vos réponses. en fait moi je ne procède pas comme ça, j'utilise dans 99.99% des cas un système de clef privée et de hash + https comme ça je suis tranquille J'ai simplement vu ça aujourd'hui dans une appli opensource dont je tairai donc le nom...
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email