[Sécurité] sécuriser les données d'un site [Résolu]

lodan · 20/07/2006, 08h55

Bonjour,

Il m'est demandé de passé un site en site sécurisé, c'est à dire que toutes les données qui transite sur le site ne doivent pas être visible en l'état sur la toile lors du transit des informations.

Un peu (beaucoup) comme une banque.

Que conseillez-vous comme méthode.

Merci

Eusebius · 20/07/2006, 08h58

Je te conseillerais de tout encapsuler dans SSL. Ca répond à tes spécifications, mais après ça ne sécurise pas tout évidemment...

lodan · 20/07/2006, 09h20

Les informations sont des noms, des adresses, des listes de biens, des n° de comptes.

Je vais regarder SSL

rbaatouc · 20/07/2006, 09h24

ssl évidemment pour commencer,
aucune valeur en GET donc tout en POST
utilisation des sessions
vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)

aprés le mieux , mais vraiment le top pour sécurisé un site, c'est de pas faire de site

lodan · 20/07/2006, 09h57

Merci rbaatouc, je crois que je vais choisir le top.

Je suis soulagé, je croyais partir dans une galère. Tu me simplifies la vie.

C'est décidé, je ne fais pas de site.

Ouf, je me voyais mal parti par cette chaleur, passer l'été à sécuriser un site avec des manips dont tu n'es pas sur du résultat.

Ta soluce de sécurité total est top.

J'éteind ma machine, je pars à la plage.

Salut ....
...
...
...
...
...
...
Euh !

Tout compte fait et après réflexion, consiliabulle et réunion au sommet de mon crâne, je vais tenter le SSL

Bon, j'ai déjà prévu POST depuis le début, l'utilisation de SESSION aussi.

Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"

Mois je vérifie les données saisie dans ma page html en javacript côté user.

J'utilise empty pour savoir si on ma poster quelque chose, ensuite .. bon je te montre :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
// Validation des modification ou retour.
if (!empty($_POST)) 
	{
	// Retour
		if (isset($_POST['Retour']))
		{
			header("Location: requetes.php");
		}
// 0 = Supprimé
// 1 = Validé
// 2 = Demande de validation de Modification
// 3 = Demande de validation de Création
// 4 = Demande de validation de Supression
// 5 = Passage en historique
    	if (isset($_POST['Valider'])) 
		{
			$traitement="1";
			$id_trt="1";	
		}
		if (isset($_POST['Creer'])) 
		{
			$traitement="1";
			$id_trt="3";
		}
		if (@$traitement == "1")
		{
			$traitement = "0";
 
            $libelle = trim($libelle);
			$libelle = strip_tags($libelle);
			$libelle = str_replace('"','"',$libelle);
			$libelle = stripslashes($libelle);
 
            $sql_requete = trim($sql_requete);
			$sql_requete = strip_tags($sql_requete);
			$sql_requete = str_replace('"','"',$sql_requete);
			$sql_requete = stripslashes($sql_requete);
 
								$libelle = addslashes($libelle);
 
								$req = ("INSERT INTO ".$prefixe_table."`t_sql` ( `sql_id` , `sql_type_id` , `libelle` , `sql_requete` ,`id_trt` )
										VALUES (\"$sql_id\", \"$sql_type_id\", \"$libelle\", \"$sql_requete\",\"$id_trt\")");
 
								$result = mysql_query("$req") or die ("mise à  jour impossible de la table $req, accès incorrect");
 
								mysql_close($connect_db);
 
								header("location: requetes.php");
								exit();
			}
		}

Dois-je refaire côté serveur les contrôles fait côté client ?

Pour le SSL, je n'y connais rien, mais ce que j'ai lu m'indique que rien n'est à faire côté programmation, c'est dans le paramétrage du serveur (apache) que des modifications doivent être apportées.

Merci

Eusebius · 20/07/2006, 10h00

salut
pour SSL tu as raison, c'est plus côté apache (et j'y connais pas grand-chose, donc... je me tais)

Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.

rbaatouc · 20/07/2006, 10h17

Citation:

Envoyé par pierre3

Qu'entends-tu par "vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc)"

Par exemple si tu attends un chiffre et pas une chaine, tu vérifies avec is_numeric; c'est tout bete mais au moins tu as fait la vérification

Citation:

Envoyé par Eusebius

Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP.

+1, javascript c'est juste un plus rien dautre, tjs vérifier coté serveur

je vais chipoter mais on ne dit pas SSL mais TLS, c'est un abus de langage SSL.
Tes liens vont légérement changer http devient https, et tu dois acheter un certificat aussi (je te laisse demander a notre ami google plus d'explication)

lodan · 20/07/2006, 10h39

Pardon pour l'abu de langage je suis d'accord, d'ailleur j'avais lu :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

	Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF (TLS version 1). Il y a très peu de différence entre SSL version 3 et TLS version 1. Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS.

sur wikipedia.org

Mais bon qu'en on parle SSL les non initiés comprennent presque, cela simplifie les rapports avec les humanoïdes non ip.

Pour les contrôles, je vais garder le javascript ? Je ne sais pas, maintenant, il ne me coûte pas très cher, c'est le même script pour toutes les pages.

Pour le côté PHP, je vais sûrement trouver sur le forum un exemple de contrôle qui permet de tester dans une fonction tous mes formulaires.

Merci beaucoup pour cet éclairage.

Eusebius · 20/07/2006, 11h14

Citation:

Envoyé par pierre3

Pour les contrôles, je vais garder le javascript ?

Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.

Pis arrêtez de m'embêter avec le SSL

rbaatouc · 20/07/2006, 11h23

Citation:

Envoyé par Eusebius

Oh ben oui garde-le, même si tu ne dois pas le considérer comme sûr, c'est une "cosmétique" apprécié par les utilisateurs, qui n'auront pas à recharger 36 fois la page en cas d'erreur.

jaime bien le terme cosmétique

Citation:

Envoyé par Eusebius

Pis arrêtez de m'embêter avec le SSL

le ssl c'est un terme "cosmétique" apprécié par les utilisateurs qui n'ont pas à dire TLS

lodan · 20/07/2006, 12h26

Adieu SSL, snif

Le SSL est mort Vive le TLS

Bon allez c'est résolu tout ça, y a plus k fo kon

20/07/2006, 08h55	#1
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	[Sécurité] sécuriser les données d'un site Bonjour, Il m'est demandé de passé un site en site sécurisé, c'est à dire que toutes les données qui transite sur le site ne doivent pas être visible en l'état sur la toile lors du transit des informations. Un peu (beaucoup) comme une banque. Que conseillez-vous comme méthode. Merci
	00

20/07/2006, 08h58	#2
Eusebius Expert Confirmé Inscription : avril 2003 Messages : 3 286 Détails du profil Informations forums : Inscription : avril 2003 Messages : 3 286 Points : 3 155 Points : 3 155	Je te conseillerais de tout encapsuler dans SSL. Ca répond à tes spécifications, mais après ça ne sécurise pas tout évidemment... __________________ Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules!
	00

20/07/2006, 09h24	#4
rbaatouc Membre expérimenté Inscription : avril 2006 Messages : 462 Détails du profil Informations personnelles : Âge : 33 Localisation : Canada Informations forums : Inscription : avril 2006 Messages : 462 Points : 556 Points : 556	ssl évidemment pour commencer, aucune valeur en GET donc tout en POST utilisation des sessions vérification automatique de ttes les valeurs que tu trasnmet ( isset, empty, is_numeric etc) aprés le mieux , mais vraiment le top pour sécurisé un site, c'est de pas faire de site __________________ Colorez votre code PHP sur les forums grâce à Developpez.com
	00

20/07/2006, 10h00	#6
Eusebius Expert Confirmé Inscription : avril 2003 Messages : 3 286 Détails du profil Informations forums : Inscription : avril 2003 Messages : 3 286 Points : 3 155 Points : 3 155	salut pour SSL tu as raison, c'est plus côté apache (et j'y connais pas grand-chose, donc... je me tais) Pour les contrôles en javascript, c'est bien de les faire, mais il faut considérer ça comme un "plus" uniquement : le client peut toujours désactiver le javascript, donc il faut TOUJOURS tout vérifier côté serveur en PHP. __________________ Tous mes tutoriels Pas de questions techniques par MP ni par e-mail, merci ! Prolog rules!
	00

20/07/2006, 10h39	#8
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Pardon pour l'abu de langage je suis d'accord, d'ailleur j'avais lu : Code : Sélectionner tout - Visualiser dans une fenêtre à part Secure Socket Layer (SSL) est un protocole de sécurisation des échanges sur Internet, développé à l'origine par Netscape (SSL version 2 et SSL version 3). Il a été renommé en Transport Layer Security (TLS) par l'IETF (TLS version 1). Il y a très peu de différence entre SSL version 3 et TLS version 1. Par abus de langage, on parle de SSL pour désigner indifféremment SSL ou TLS. sur wikipedia.org Mais bon qu'en on parle SSL les non initiés comprennent presque, cela simplifie les rapports avec les humanoïdes non ip. Pour les contrôles, je vais garder le javascript ? Je ne sais pas, maintenant, il ne me coûte pas très cher, c'est le même script pour toutes les pages. Pour le côté PHP, je vais sûrement trouver sur le forum un exemple de contrôle qui permet de tester dans une fonction tous mes formulaires. Merci beaucoup pour cet éclairage.
	00

20/07/2006, 09h20	#3
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Les informations sont des noms, des adresses, des listes de biens, des n° de comptes. Je vais regarder SSL
	00

20/07/2006, 12h26	#11
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Adieu SSL, snif Le SSL est mort Vive le TLS Bon allez c'est résolu tout ça, y a plus k fo kon
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email