Passage de password en paramètre [Résolu]

lodan · 23/09/2006, 09h36

Bonjour,

Je veux intégré "webcalendar" dans mon intranet.

J'ai un login et password lorsque je rentre dans mon intranet et lorsque je vais depuis mon intranet vers webcalendar, il me redemande un login et un mot de passe.

J'ai fait en sorte que dans mon intranet et dans webcalendar, ce soit le même password.

Je voudrais éviter qu'il me redemande le password lorsque je vais sur webcalendar.

Faut-il que je stock le password quelque part pour le passer en paramètre ? Dangereux non ?

Une autre solution ?

Merci d'avance

webrider · 23/09/2006, 09h41

Bonjour,

Qu'est-ce que tu utilises comme authentification sur ton intranet?

Dangereux je ne dirais pas comme toi. Tu es sur un intranet et à toi de juger de la valeur des données y circulant. Si tu es derrière un pare-feu et/ou NAT, tu n'as rien à craindre de l'internet.

webrider.

lodan · 23/09/2006, 10h16

Je vais ouvrir l'intranet vers internet pour que les salariés nomades et uniquement eux puissent se connecter.

L'authentification se fait par login/password en md5

webrider · 23/09/2006, 10h47

Ok donc j'en déduis que ce n'est pas une authentification http

Si tu travailles avec des sessions, au lieu de transmettre le mot de passe, tu devrais passer l'état de l'utilisateur de page en page (à savoir authentifié ou non).

Dès qu'un utilisateur se connecte avec succès tu écris

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$_SESSION["connected"] = 1;

A l'arrivée sur webcalendar, tu testes la valeur de $_SESSION["connected"].

Si elle est à 1 -> pas de demande login/mdp
Si elle est à 0 ou non déclarée -> demande d'authentification

Qu'en penses-tu?

webrider

lodan · 23/09/2006, 10h55

Oui, c'est très simple comme solution.

Je dois donc modifier webcalendar pour qu'il ne demande pas l'authentification si je suis à "1"

Merci

webrider · 23/09/2006, 13h56

Pas de quoi!

lodan · 23/09/2006, 16h36

Une question tout à coup, tu constates :

Citation:

Envoyé par webrider

Ok donc j'en déduis que ce n'est pas une authentification http

Est-ce bon ou pas bon de ne pas utiliser cette fonction ?

webrider · 24/09/2006, 08h45

Disons que l'authentification http basique fait transiter les informations (login/mdp) en clair donc pas de sécurité du tout.

La gestion des comptes est plus difficile, les login/mdp sont dans un fichier texte avec login et mdp crypté... schéma propre au serveur web.

Le login se fait dans un petit pop-up dès l'arrivée sur le site, pas moyen de personnaliser la mise en page.

Comme tu le vois, la manière que tu as retenue est bien plus modulable et sécurisée que l'authentification http.

Bon dimanche,

webrider.

lodan · 24/09/2006, 09h13

Merci webrider,

Je suis rassuré, sécurisé et je vais passer un bon dimanche

Bon dimanche à toi aussi.

webrider · 24/09/2006, 09h20

Pour passer encore un meilleur dimanche et pour t'amuser aussi un tout petit peu tu pourrais utiliser SSL pour ton intranet!

Pour cela il te faudra un certificat, dispo gratuitement là http://cert.startcom.org/?lang=fr&app=100

J'utilise leurs services pour mon site internet et j'en suis très content. Avec tout ça tu seras au top de la sécurisation! Et puis jouer avec le cryptage te mènera de découverte en découverte.

@++

webrider

lodan · 24/09/2006, 10h09

Ouhaaaa !!!! ça me tente beaucoup.

Combien de temps dois-je prévoir pour utiliser cette technique que je ne connais pas du tout ?

Je me connais, si je m'y met tout de suite, je ne vais pas compter mon temps et prendre du retard sur le reste.

Il parle de quelques minutes

webrider · 24/09/2006, 12h57

Si tout va bien, je dis bien si tout va bien

Compte une demi-journée pour apprendre et mettre en place. Mais comme tu le sais certainement rien ne va jamais bien du premier coup!

Dans ton cas, délai oblige, finis d'abord le travail que tu as à faire. Tu peux toujours ajouter SSL plus tard sans rien changer au contenu du site. C'est comme ça que j'ai fait!

Tu comptes utiliser ton propre serveur web? Si ce n'est pas le cas, il faut d'abord contacter ton hébergeur pour la partie technique.

Pour configurer à fond mon serveur Apache j'ai lu le livre Apache 2 Installation, administration et sécurisation aux éditions ENI. On y parle de SSL de manière intéressante (fonctionnement et mise en place).

Un autre aspect de la sécurité sous Apache sont les URL rewriting : l'internaute entre ou est dirigé vers une URL fictive et le "rewriting" transcris cette adresse vers un vrai nom sur ton serveur. Ainsi les internautes ignorent le vrai nom de tes fichiers! Il paraît qu'on peut l'utiliser pour d'autres choses mais je n'ai pas encore poussé plus loin.

webrider

lodan · 24/09/2006, 16h05

Merci pour le livre, j'avais déjà commandé "linux pour les nuls" et "
Sécurité Internet pour les nuls "

Je donc commandé en plus ce livre que tu préconises, je devrai l'avoir d'ici une semaine.

Merci encore, je double le temps que tu préconises

Ce sera sur mon propre serveur et aussi chez mon hébergeur en serveur dédié donc je ne devrai pas avoir trop de problème à mettre ce que je veux.

webrider · 24/09/2006, 22h22

Pas de problème et bon courage pour la suite!

webrider

23/09/2006, 09h36	#1
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Passage de password en paramètre Bonjour, Je veux intégré "webcalendar" dans mon intranet. J'ai un login et password lorsque je rentre dans mon intranet et lorsque je vais depuis mon intranet vers webcalendar, il me redemande un login et un mot de passe. J'ai fait en sorte que dans mon intranet et dans webcalendar, ce soit le même password. Je voudrais éviter qu'il me redemande le password lorsque je vais sur webcalendar. Faut-il que je stock le password quelque part pour le passer en paramètre ? Dangereux non ? Une autre solution ? Merci d'avance __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

23/09/2006, 09h41	#2
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Bonjour, Qu'est-ce que tu utilises comme authentification sur ton intranet? Dangereux je ne dirais pas comme toi. Tu es sur un intranet et à toi de juger de la valeur des données y circulant. Si tu es derrière un pare-feu et/ou NAT, tu n'as rien à craindre de l'internet. webrider. __________________ Pensez au tag
	00

23/09/2006, 10h16	#3
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Je vais ouvrir l'intranet vers internet pour que les salariés nomades et uniquement eux puissent se connecter. L'authentification se fait par login/password en md5 __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

23/09/2006, 10h47	#4
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Ok donc j'en déduis que ce n'est pas une authentification http Si tu travailles avec des sessions, au lieu de transmettre le mot de passe, tu devrais passer l'état de l'utilisateur de page en page (à savoir authentifié ou non). Dès qu'un utilisateur se connecte avec succès tu écris Code : Sélectionner tout - Visualiser dans une fenêtre à part $_SESSION["connected"] = 1; A l'arrivée sur webcalendar, tu testes la valeur de $_SESSION["connected"]. Si elle est à 1 -> pas de demande login/mdp Si elle est à 0 ou non déclarée -> demande d'authentification Qu'en penses-tu? webrider __________________ Pensez au tag
	00

23/09/2006, 10h55	#5
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Oui, c'est très simple comme solution. Je dois donc modifier webcalendar pour qu'il ne demande pas l'authentification si je suis à "1" Merci __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

23/09/2006, 13h56	#6
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Pas de quoi! __________________ Pensez au tag
	00

24/09/2006, 08h45	#8
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Disons que l'authentification http basique fait transiter les informations (login/mdp) en clair donc pas de sécurité du tout. La gestion des comptes est plus difficile, les login/mdp sont dans un fichier texte avec login et mdp crypté... schéma propre au serveur web. Le login se fait dans un petit pop-up dès l'arrivée sur le site, pas moyen de personnaliser la mise en page. Comme tu le vois, la manière que tu as retenue est bien plus modulable et sécurisée que l'authentification http. Bon dimanche, webrider. __________________ Pensez au tag
	00

24/09/2006, 09h13	#9
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Merci webrider, Je suis rassuré, sécurisé et je vais passer un bon dimanche Bon dimanche à toi aussi. __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

24/09/2006, 09h20	#10
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Pour passer encore un meilleur dimanche et pour t'amuser aussi un tout petit peu tu pourrais utiliser SSL pour ton intranet! Pour cela il te faudra un certificat, dispo gratuitement là http://cert.startcom.org/?lang=fr&app=100 J'utilise leurs services pour mon site internet et j'en suis très content. Avec tout ça tu seras au top de la sécurisation! Et puis jouer avec le cryptage te mènera de découverte en découverte. @++ webrider __________________ Pensez au tag
	00

24/09/2006, 10h09	#11
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Ouhaaaa !!!! ça me tente beaucoup. Combien de temps dois-je prévoir pour utiliser cette technique que je ne connais pas du tout ? Je me connais, si je m'y met tout de suite, je ne vais pas compter mon temps et prendre du retard sur le reste. Il parle de quelques minutes __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

24/09/2006, 12h57	#12
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Si tout va bien, je dis bien si tout va bien Compte une demi-journée pour apprendre et mettre en place. Mais comme tu le sais certainement rien ne va jamais bien du premier coup! Dans ton cas, délai oblige, finis d'abord le travail que tu as à faire. Tu peux toujours ajouter SSL plus tard sans rien changer au contenu du site. C'est comme ça que j'ai fait! Tu comptes utiliser ton propre serveur web? Si ce n'est pas le cas, il faut d'abord contacter ton hébergeur pour la partie technique. Pour configurer à fond mon serveur Apache j'ai lu le livre Apache 2 Installation, administration et sécurisation aux éditions ENI. On y parle de SSL de manière intéressante (fonctionnement et mise en place). Un autre aspect de la sécurité sous Apache sont les URL rewriting : l'internaute entre ou est dirigé vers une URL fictive et le "rewriting" transcris cette adresse vers un vrai nom sur ton serveur. Ainsi les internautes ignorent le vrai nom de tes fichiers! Il paraît qu'on peut l'utiliser pour d'autres choses mais je n'ai pas encore poussé plus loin. webrider __________________ Pensez au tag
	00

24/09/2006, 16h05	#13
lodan Membre extrêmement actif Inscription : juin 2006 Messages : 1 804 Détails du profil Informations forums : Inscription : juin 2006 Messages : 1 804 Points : 587 Points : 587	Merci pour le livre, j'avais déjà commandé "linux pour les nuls" et " Sécurité Internet pour les nuls " Je donc commandé en plus ce livre que tu préconises, je devrai l'avoir d'ici une semaine. Merci encore, je double le temps que tu préconises Ce sera sur mon propre serveur et aussi chez mon hébergeur en serveur dédié donc je ne devrai pas avoir trop de problème à mettre ce que je veux. __________________ Y a pas, plus on fait, plus on sait. Plus on cherche, plus on sait chercher. Maintenant quant à trouver, c'est autre chose.
	00

24/09/2006, 22h22	#14
webrider Membre éprouvé Inscription : mai 2006 Messages : 694 Détails du profil Informations personnelles : Sexe : Âge : 31 Localisation : Belgique Informations forums : Inscription : mai 2006 Messages : 694 Points : 417 Points : 417	Pas de problème et bon courage pour la suite! webrider __________________ Pensez au tag
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email