[Sécurité] Sécurité des login et password [Résolu]

[gailup]

Bonjour,

Pour la création de mon site web, j'utilise le CSS pour les cadres, les PHP pour toutes mes pages et PHP/MySQL pour mes bases de données.

Maintenant que mon site web fonctionne, je voudrai mettre une partie administrateur ou à l'aide de formulaire stocke toutes les infos dans des bases de données. Pour cela ma première page est un formulaire avec "login" et "password" que je stocke dans une table mais dans ma page j'écrit :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$db = mysql_connect("@dataBase", "login", "password") ;

Mais toutes ces infos ne sont pas trop sécurisé ?
C'est-à-dire que je ne voudrai pas mettre les infos de ce type en dur dans ma page.
Est-il possible de sécurisé ces infos ? Si oui comment ?


Merci d'avance

Gailup.

[gerald2545]

bonsoir,
ce n'est pas là que réside le principal problème de sécurité sur les login/passwd.
En effet, ceci est écrit dans ton fichier php qu'un client ne peut pas lire avec son navigateur (à moins que ton serveur ne traite plus les fichiers php et ne les affiche comme un fichier texte classique....très peu probable!!!).
De ce côté là pas de souci.
Ton problème de sécurité peut venir du côté du serveur : si tu n'as pas mis les bons droits sur ton fichier php, n'importe quelle personne connectée sur le serveur peut potentiellement lire ton script et découvrir tes identifiants.

dernier point : quand tu rentres les identifiants dans le formulaire d'identification pour accéder à l'interface d'administration, si tu n'es pas sur une page https, les identifiants sont transférés en clair et une personne mal intentionnée peut les intercepter....

[gailup]

donc je peux mettre mes password et login en dur dans mon script PHP et je renvoie mon formulaire sur une page du type https://www.monsite.com/admin.php

Merci.

[spilliaert]

heu, oui, mais tu dois alors disposer d'un certificat SSL. Il y en a gratuits, qui affichent un avertissement au client; il y en a des payants(sans avertissement)...

tu ne peux pas utiliser https:// comme ça

[gailup]

Si vous connaissez des site pour avoir un certificat SSL gratuit merci de me les communiquer.

Merci d'avance.

Gailup.

[Ouark]

Bonjour,

Pour installer un certificat SSL, il faut avoir les droits sur le serveur pour le faire, beaucoup d'hébergeur ne le permettent pas.

Sinon, tu peux déjà, hasher tes logins/mot de passes, avant d'envoyer ton formulaire d'identification à l'aide du Javascript ( ex fonction JS MD5).
Sur ta page php de vérification, tu vérifie si les données rentrés sont identiques à celle stocké dans ta base (en hashant aussi les valeurs contenu dans ta base avec md5(), ou alors stockant leur valeur md5 directement).

[abdul470]

Si tu héberges toi même ton site, tu peux installer un serveur Apache avec support SSL.
Et en principe, tu dois déjà avoir, par défaut, un certificat gratuit avec.
Après t'as plus rien à faire, tu peux accéder à ttes tes pages en https.

Si tu passes par un hébergeur, faut vérifier que le serveur où est hébergé ton site est installé avec les modules SSL (tu peux faire un phpinfo() pour voir ça).

[gailup]

OK

Merci. Je vais voir si mon nouveau herbergeur me le permet : www.1and1.fr


Gailup.

[gailup]

Je peux avoir un certificat SSL mais c'est en option : 8,36e/mois.

Est-ce si important de le prendre pour un site perso ?

Merci.

Gailup.

[Maxoo]

pas du tout !!

un SSL, c'est pour sécuriser des donnée sensibles ou pour faire des paiements en ligne. Si c'était gratuit, on le metterait pour tout les sites ou y a des espaces membres, mais bon.

Voila !!

[gailup]

Merci.