Sécuriser une page web

Gizmil · 14/09/2007, 22h42

Salut,

Voilà, pour sécuriser une page web, j'aimerais trouver une solution qui se rapproche des technologies que je connais.

Les langages que je connais:

- HTML
- ActionScript

Je suis donc bien sûr habilité à éditer toute sorte de fichier et modifier le code-source (php, xml, etc) mais je ne sais coder que dans les langages ci-dessus.

Ce que j'aimerais faire, concrètement:

Pour le site web d'un photographe pro, sécuriser l'accès à certaines galleries du site réservées aux clients.

- J'aimerais qu'une console apparaisse avec texte de saisie pour entrer un nom d'utilisateur et un mot-de-passe et qu'en fonction du nom entré, on aie accès à la page correspondante.
- Je veux que la page soit bloquée si on essaye de l'atteindre en tappant son URL.
- Je veux, si possible, mais pas indispensable, que la console de champ de saisie soit en Flash (swf).

Voilà, si vous pouvez me donner des pistes...

Merci d'avance pour votre aide!

djoyeux · 17/09/2007, 01h53

si ton serveur gére le php, tu peux faire ça par session. pour ce qui est des droit et des pages retourné il te faut une base de donnée dans lequelle tu mettra les differents utilisateurs et les droits associés. (un fichier txt marche aussi mais a administré c"'est plus chiant)

après a la connexion tu testes si le login mot de passe correspond dans la base et si oui tu demarres la session avec en variable le nom de l'utile ou l'id et ses droits.

pour sécuriser les pages tu teste si la variable de session existe si oui tu as accès sinon tu le redirige là ou tu veux.

Anthony.Desvernois · 17/09/2007, 04h27

Comme dit precedemment : php/mysql.
Ou sinon via les .htaccess

cadoudal56 · 17/09/2007, 08h23

Hello,

Le HTML ne te permet pas a proprement parlé de sécuriser des pages HTML ou des répertoires. Tu peux le faire a l'aide de javascript, mais un initié meme peu talentueux est capable de retrouver le mot de passe.

En actionscript c'est un peu pareil, car il suffit de télécharger l'anim flash et de la cracker. Meme si le user et le mot de passe se trouve dans un fichier externe, on a toujours moyen d'y arriver...

Comme tu ne veux/pzeux pas le faire en utilisant une BDD et PHP,je te suggère l'utilisation des fichiers .htaccess.

Une fois que tu as paramétré ce fichier .htaccess, tu le places dans les dossiers que tu souhaites sécuriser. Lorsque l'on souhaite accéder a un élément de ce répertoire, une fenetre s'ouvre et te demande les user et mot de passe.

Tu en sauras plus en lisant l'article ce dessous :
Les principales utilisations du htaccess avec Apache

@+
cadou

djoyeux · 17/09/2007, 13h28

Oui effectivement le .htaccess te permet de sécurisé un répertoire mais il ne me semble pas qu'il permette de géré des droits par rapport à des logins.

Tu peux faire un répertoire par type de droit mais ça t'oblige à faire plusieurs pages

Gizmil · 17/09/2007, 14h42

Ok, les gars, merci! Comme au départ, j'avais posté ce topic dans une section inapropriée, je n'avais pas reçu de réponse et donc, entretemps, j'ai cherché de mon côté!

J'ai effectivement trouvé la solution htaccess. C'est la seule qui me semble accessible pour l'instant, par rapport à mes capacités. En fait, je suis infographiste et mon client est un photographe qui veut créer un espace client sur son site où ses clients n'auront qu'à se connecter pour voir leur galerie photo.

Bref, pour le moment, j'essaye effectivement de me débrouiller avec htaccess. Il y a juste qu'à présent, je dois encore déterminer quel cryptage accepte le serveur sur lequel je suis hébergé. En effet, j'ai constaté qu'en cryptant avec certains générateurs, mes mot de passe fonctionnaient et qu'avec d'autres, non! Est-il possible que ce soit le serveur qui est configuré de manière à n'accepter que certains cryptages? J'ai lu que les plus courrus étaient MD5 et SHA1.

J'aimerais pouvoir installer une console sur une page web que mon client n'aura plus qu'à utiliser pour créer ses mot-de-passe, comme ceci:

http://gizmil.jexiste.fr/go_crypt.php

Pourriez-vous, premièrement, m'aider à identifier le type de cryptage qui fonctionne sur mon serveur et ensuite à trouver un script pour la console?

Merci pour votre aide!

Anthony.Desvernois · 17/09/2007, 17h36

Il nous faut la tete d'un password crypte pour te donner une idee du cryptage utilise...

Gizmil · 17/09/2007, 20h52

Ok, alors voici le pass:

h5ZUW5pgCMCOE

A la question: "Quel type de cryptage utilisez-vous?", L'hébergeur me répond ceci:

Citation:

Envoyé par jexiste.fr

Nous avons utilisé 'htpasswd' d'Apache:

htpasswd -c /tmp/.htpasswd gizmil

Nous vous conseillons de lire ce document :
http://httpd.apache.org/docs/1.3/howto/auth.html

Le problème, c'est que je n'y comprend pas grand chose! Qu'est-ce que je dois faire avec cette ligne de code?

htpasswd -c /tmp/.htpasswd gizmil

Et pour le doc, il est en anglais, bien sûr!

djoyeux · 18/09/2007, 00h36

Ce que tu nous envoie est le mot de passe déjà crypté ?
Il nous faut les deux le claire et le crypté pour te dire quel cryptage il utilise.

Donne moi le claire et le crypté et je te dirais si c'est le meme cryptage que sur l'un de mes serveur linux.

Sinon tes chez quel hébergeur ? on pourra le savoir grace à ça. En général les hébergeurs on un générateur de .password pour créer les password.

J'espère que tu m'auras compris...

@++

Gizmil · 18/09/2007, 10h56

Alors, le pass en clair est:

123456

et en crypté:

h5ZUW5pgCMCOE

Je suis sur http://www.jexiste.fr

Edit> Je crois avoir trouvé, je pense que c'est du MD5 ! Mes mot-de-passe fonctionnent avec ce cryptage!

Maintenant, j'aimerais trouver un fichier php qui me permette de mettre un générateur de cryptage MD5 en ligne, dans ce genre-ci:

http://sourisdudesert.free.fr/wp-content/md5.php

djoyeux · 18/09/2007, 13h33

Quand je crypte 12345 en md5 avec la fonction PHP il me retourne :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<? echo md5('12345'); ?>

827ccb0eea8a706c4c34a16891f84e7b

Je ne pense donc pas que ça soit du MD5, après je peux me tromper.

Je vais regarder sur le site de ton hebergeur si ils ont pas une fonction tt faite d'apache. car c'est un module d'apache et non de php je pense qu'il faut que tu utilise.
Après php te permettra d'ajouter la ligne dans le fichier .password.

djoyeux · 18/09/2007, 13h52

J'ai trouvé sur le net des générateur de .htaccess et .password.

Mais aucun me retourne le cryptage que tu m'as donné pour 123456.

Je continu a chercher mais c un peut bizarre.

Anthony.Desvernois · 18/09/2007, 14h00

Vu la tete du crypte, ce n'est pas du md5 ^^

djoyeux · 18/09/2007, 14h01

Sur cette page tu peux télécharger un script qui te génére un fichier htaccess et htpassword.

http://scripts.buddapass.com/2007/04...hier-htaccess/

Dans le script tu dois pouvoir isolé la generation du htpassword.

Apres charge a toi d'ajouter les lignes généré dans ton propre htpassword.

Gizmil · 18/09/2007, 14h42

Est-il possible que le serveur accepte plusieurs types de cryptages? Je n'y connais rien donc dites-moi...

Pour djoyeux: merci pour ta solution, je l'ai essayée mais après avoir généré un dossier contenant le htaccesss et htpasswd, quand je tappe l'url du dossier, ça me renvoie ça:

Citation:

Internal Server Error
The server encountered an internal error or misconfiguration and was unable to complete your request.
Please contact the server administrator, gizmil@hotmail.com and inform them of the time the error occurred, and anything you might have done that may have caused the error.

More information about this error may be available in the server error log.

djoyeux · 18/09/2007, 15h09

ouais je vois pas trop comme ça te dire pourquoi ça te fait cette erreur.

cependant il faut que tu modifie le script pour qu'il me te génére unique le .htpassword. c'est celui là dont tu as besion.

Une fois généré dans un premier tant tu rajoute la ligne de mot de passe dans ton .htpassword qui fonctionne pour voir si les logs fonctionne.

Si ça marche tu peux après t'attaqué à la fonction qui prendra cette ligne et te l'ajoutera automatiquement à ton htpassword.

Mais j'ai l'impression que par rapport a tes demandes il te serais quand meme moins chiant et mieux de faire des sessions PHP avec une DB et une table utilisateur.

Gizmil · 18/09/2007, 15h36

Oué ok mais laisses tomber, j'y connais rien!

Moi, tout ce que je veux, c'est placer un fichier sur mon serveur qui génére une console comme ça:

http://sourisdudesert.free.fr/wp-content/md5.php

Est-ce que quelqu'un peut me donner un script genre PHP ou un lien vers un fichier qui crée un générateur de hashage MD5 ?

Voilà, merci!

14/09/2007, 22h42	#1
Gizmil Nouveau Membre du Club Inscription : août 2007 Messages : 143 Détails du profil Informations personnelles : Âge : 34 Localisation : Belgique Informations forums : Inscription : août 2007 Messages : 143 Points : 29 Points : 29	Sécuriser une page web Salut, Voilà, pour sécuriser une page web, j'aimerais trouver une solution qui se rapproche des technologies que je connais. Les langages que je connais: - HTML - ActionScript Je suis donc bien sûr habilité à éditer toute sorte de fichier et modifier le code-source (php, xml, etc) mais je ne sais coder que dans les langages ci-dessus. Ce que j'aimerais faire, concrètement: Pour le site web d'un photographe pro, sécuriser l'accès à certaines galleries du site réservées aux clients. - J'aimerais qu'une console apparaisse avec texte de saisie pour entrer un nom d'utilisateur et un mot-de-passe et qu'en fonction du nom entré, on aie accès à la page correspondante. - Je veux que la page soit bloquée si on essaye de l'atteindre en tappant son URL. - Je veux, si possible, mais pas indispensable, que la console de champ de saisie soit en Flash (swf). Voilà, si vous pouvez me donner des pistes... Merci d'avance pour votre aide!
	00

17/09/2007, 04h27	#3
Anthony.Desvernois Membre Expert Anthony Desvernois Ingénieur sécurité & risque Inscription : juin 2007 Messages : 1 501 Détails du profil Informations personnelles : Nom : Anthony Desvernois Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité & risque Secteur : Finance Informations forums : Inscription : juin 2007 Messages : 1 501 Points : 2 011 Points : 2 011	Comme dit precedemment : php/mysql. Ou sinon via les .htaccess __________________ "Voyager, c'est découvrir que tout le monde a tort", Aldous Huxley "Less is more" Ludwig Mies Van Der Rohe Risk & Security Mgmt
	00

17/09/2007, 08h23	#4
cadoudal56 Membre chevronné Inscription : février 2005 Messages : 671 Détails du profil Informations personnelles : Âge : 40 Informations forums : Inscription : février 2005 Messages : 671 Points : 646 Points : 646	Hello, Le HTML ne te permet pas a proprement parlé de sécuriser des pages HTML ou des répertoires. Tu peux le faire a l'aide de javascript, mais un initié meme peu talentueux est capable de retrouver le mot de passe. En actionscript c'est un peu pareil, car il suffit de télécharger l'anim flash et de la cracker. Meme si le user et le mot de passe se trouve dans un fichier externe, on a toujours moyen d'y arriver... Comme tu ne veux/pzeux pas le faire en utilisant une BDD et PHP,je te suggère l'utilisation des fichiers .htaccess. Une fois que tu as paramétré ce fichier .htaccess, tu le places dans les dossiers que tu souhaites sécuriser. Lorsque l'on souhaite accéder a un élément de ce répertoire, une fenetre s'ouvre et te demande les user et mot de passe. Tu en sauras plus en lisant l'article ce dessous : Les principales utilisations du htaccess avec Apache @+ cadou __________________ PHP Competition System Script de gestion de coupes et championnats http://phpcompet.free.fr Mon jeu de foot
	00

17/09/2007, 17h36	#7
Anthony.Desvernois Membre Expert Anthony Desvernois Ingénieur sécurité & risque Inscription : juin 2007 Messages : 1 501 Détails du profil Informations personnelles : Nom : Anthony Desvernois Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité & risque Secteur : Finance Informations forums : Inscription : juin 2007 Messages : 1 501 Points : 2 011 Points : 2 011	Il nous faut la tete d'un password crypte pour te donner une idee du cryptage utilise... __________________ "Voyager, c'est découvrir que tout le monde a tort", Aldous Huxley "Less is more" Ludwig Mies Van Der Rohe Risk & Security Mgmt
	00

18/09/2007, 13h33	#11
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	Quand je crypte 12345 en md5 avec la fonction PHP il me retourne : Code : Sélectionner tout - Visualiser dans une fenêtre à part <? echo md5('12345'); ?> 827ccb0eea8a706c4c34a16891f84e7b Je ne pense donc pas que ça soit du MD5, après je peux me tromper. Je vais regarder sur le site de ton hebergeur si ils ont pas une fonction tt faite d'apache. car c'est un module d'apache et non de php je pense qu'il faut que tu utilise. Après php te permettra d'ajouter la ligne dans le fichier .password.
	00

17/09/2007, 01h53	#2
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	si ton serveur gére le php, tu peux faire ça par session. pour ce qui est des droit et des pages retourné il te faut une base de donnée dans lequelle tu mettra les differents utilisateurs et les droits associés. (un fichier txt marche aussi mais a administré c"'est plus chiant) après a la connexion tu testes si le login mot de passe correspond dans la base et si oui tu demarres la session avec en variable le nom de l'utile ou l'id et ses droits. pour sécuriser les pages tu teste si la variable de session existe si oui tu as accès sinon tu le redirige là ou tu veux.
	00

17/09/2007, 13h28	#5
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	Oui effectivement le .htaccess te permet de sécurisé un répertoire mais il ne me semble pas qu'il permette de géré des droits par rapport à des logins. Tu peux faire un répertoire par type de droit mais ça t'oblige à faire plusieurs pages
	00

17/09/2007, 14h42	#6
Gizmil Nouveau Membre du Club Inscription : août 2007 Messages : 143 Détails du profil Informations personnelles : Âge : 34 Localisation : Belgique Informations forums : Inscription : août 2007 Messages : 143 Points : 29 Points : 29	Ok, les gars, merci! Comme au départ, j'avais posté ce topic dans une section inapropriée, je n'avais pas reçu de réponse et donc, entretemps, j'ai cherché de mon côté! J'ai effectivement trouvé la solution htaccess. C'est la seule qui me semble accessible pour l'instant, par rapport à mes capacités. En fait, je suis infographiste et mon client est un photographe qui veut créer un espace client sur son site où ses clients n'auront qu'à se connecter pour voir leur galerie photo. Bref, pour le moment, j'essaye effectivement de me débrouiller avec htaccess. Il y a juste qu'à présent, je dois encore déterminer quel cryptage accepte le serveur sur lequel je suis hébergé. En effet, j'ai constaté qu'en cryptant avec certains générateurs, mes mot de passe fonctionnaient et qu'avec d'autres, non! Est-il possible que ce soit le serveur qui est configuré de manière à n'accepter que certains cryptages? J'ai lu que les plus courrus étaient MD5 et SHA1. J'aimerais pouvoir installer une console sur une page web que mon client n'aura plus qu'à utiliser pour créer ses mot-de-passe, comme ceci: http://gizmil.jexiste.fr/go_crypt.php Pourriez-vous, premièrement, m'aider à identifier le type de cryptage qui fonctionne sur mon serveur et ensuite à trouver un script pour la console? Merci pour votre aide!
	00

18/09/2007, 00h36	#9
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	Ce que tu nous envoie est le mot de passe déjà crypté ? Il nous faut les deux le claire et le crypté pour te dire quel cryptage il utilise. Donne moi le claire et le crypté et je te dirais si c'est le meme cryptage que sur l'un de mes serveur linux. Sinon tes chez quel hébergeur ? on pourra le savoir grace à ça. En général les hébergeurs on un générateur de .password pour créer les password. J'espère que tu m'auras compris... @++
	00

18/09/2007, 10h56	#10
Gizmil Nouveau Membre du Club Inscription : août 2007 Messages : 143 Détails du profil Informations personnelles : Âge : 34 Localisation : Belgique Informations forums : Inscription : août 2007 Messages : 143 Points : 29 Points : 29	Alors, le pass en clair est: 123456 et en crypté: h5ZUW5pgCMCOE Je suis sur http://www.jexiste.fr Edit> Je crois avoir trouvé, je pense que c'est du MD5 ! Mes mot-de-passe fonctionnent avec ce cryptage! Maintenant, j'aimerais trouver un fichier php qui me permette de mettre un générateur de cryptage MD5 en ligne, dans ce genre-ci: http://sourisdudesert.free.fr/wp-content/md5.php
	00

18/09/2007, 13h52	#12
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	J'ai trouvé sur le net des générateur de .htaccess et .password. Mais aucun me retourne le cryptage que tu m'as donné pour 123456. Je continu a chercher mais c un peut bizarre.
	00

18/09/2007, 14h00	#13
Anthony.Desvernois Membre Expert Anthony Desvernois Ingénieur sécurité & risque Inscription : juin 2007 Messages : 1 501 Détails du profil Informations personnelles : Nom : Anthony Desvernois Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité & risque Secteur : Finance Informations forums : Inscription : juin 2007 Messages : 1 501 Points : 2 011 Points : 2 011	Vu la tete du crypte, ce n'est pas du md5 ^^ __________________ "Voyager, c'est découvrir que tout le monde a tort", Aldous Huxley "Less is more" Ludwig Mies Van Der Rohe Risk & Security Mgmt
	00

18/09/2007, 14h01	#14
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	Sur cette page tu peux télécharger un script qui te génére un fichier htaccess et htpassword. http://scripts.buddapass.com/2007/04...hier-htaccess/ Dans le script tu dois pouvoir isolé la generation du htpassword. Apres charge a toi d'ajouter les lignes généré dans ton propre htpassword.
	00

18/09/2007, 15h09	#16
djoyeux Membre chevronné Inscription : août 2007 Messages : 592 Détails du profil Informations personnelles : Âge : 32 Localisation : France, Paris (Île de France) Informations forums : Inscription : août 2007 Messages : 592 Points : 657 Points : 657	ouais je vois pas trop comme ça te dire pourquoi ça te fait cette erreur. cependant il faut que tu modifie le script pour qu'il me te génére unique le .htpassword. c'est celui là dont tu as besion. Une fois généré dans un premier tant tu rajoute la ligne de mot de passe dans ton .htpassword qui fonctionne pour voir si les logs fonctionne. Si ça marche tu peux après t'attaqué à la fonction qui prendra cette ligne et te l'ajoutera automatiquement à ton htpassword. Mais j'ai l'impression que par rapport a tes demandes il te serais quand meme moins chiant et mieux de faire des sessions PHP avec une DB et une table utilisateur.
	00

18/09/2007, 15h36	#17
Gizmil Nouveau Membre du Club Inscription : août 2007 Messages : 143 Détails du profil Informations personnelles : Âge : 34 Localisation : Belgique Informations forums : Inscription : août 2007 Messages : 143 Points : 29 Points : 29	Oué ok mais laisses tomber, j'y connais rien! Moi, tout ce que je veux, c'est placer un fichier sur mon serveur qui génére une console comme ça: http://sourisdudesert.free.fr/wp-content/md5.php Est-ce que quelqu'un peut me donner un script genre PHP ou un lien vers un fichier qui crée un générateur de hashage MD5 ? Voilà, merci!
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email