[Sécurité] securité sur un site [Fait] [Résolu]

vovor · 24/12/2007, 09h34

J'aimerais sécuriser un site de jeux php face aux multis. Certains débordent d'imagination et débordent tout court : ce qu'ils osent est parfois démesuré par rapport au fait qu'il ne s'agisse que d'un simple jeu : multicomptes avec plusieurs proxy, brute-force pour casser les mot de passe de leurs concurrents et bouziller leur compte, tentatives de piratage du ftp et de la bdd du serveur...
c'est assez impressionnant.

De même je ne suis pas un utilisateur de steganos, Tor et autres, c'est pas trop mon trip. Mais si tout le monde répond aux petits malins qui veulent utiliser ces masqueurs d'ip, que c'est facilement remontable, personne ne parle nulle part de la methode pour ce faire. A ce que j'ai vu lors de mes recherches, tout le monde parle de piratage, mais peu d'anti-piratage.

Votre avis pour sécuriser un minimum un site et surtout obtenir la vraie adresse ip de l'utilisateur.

Vell · 24/12/2007, 11h32

Bonjour,

Tu n'as pas du bien chercher

http://www.frameip.com/smartspoofing/

vovor · 24/12/2007, 14h54

oui j'avais vu pour le spooling.

Mais en général la protection recommandée, c'est coté serveur. Moi je gere pas cette partie vu que je suis chez un prestataire qui heberge mon serveur. C'est au niveau de la reconnaissances des ip coté client (code php) que j'aimerais avoir une bonne précision.

Vell · 24/12/2007, 18h23

Bonjour,

Si je ne me trompe pas tu n'auras pas un accès suffisant sur la machine pour gérer la trame IP et donc savoir si l'ip est masquée ou non.

Tout ce que tu peux faire c'est côté serveur, côté client tu ne peux rien faire

(php c'est côté serveur ...)

vovor · 24/12/2007, 23h39

tu m'as eu!

ce que j'entendais par là, c'est que c'est le client qui genere le lancement du script au lancement de la page.

LA plupart de ce qui est proposé, c'est firewall, table ip et autres joyeusetés... mais je vois rien qui puisse aider coté php. (ou meme js (au pire

))

Vell · 25/12/2007, 23h20

Bah ... Il y'a déja pas mal de dossiers sur la sécurité des applications php sur le net.

C'est un domaine vaste, il y'a la protection des données envoyées, la protection des données enregistrées, la protection des mots de passe (cryptés, en cas de vol de la bdd les mots de passes ne sont pas utilisables), la protection des requêtes lourdes pour éviter qu'un utilisateur puisse la relancer 10 fois / seconde, etc ....

Vraiment, c'est vaste

Léortien · 26/12/2007, 11h57

c'est plutot intéressant

ça doit être passionnant (pour d'un oeil externe pour toi ça doit pas drole) à étudier (je me suis toujours demandé comment les gens faisaient pour bidouiller ftp et bdd)

- IP
l'ip se change sans problème. même sans bidouille. tu te déconnectes et te reconnectes et pouf une nouvelle ip de ton fai. (sans même passer par un proxy) dans ce cas est ce que le code donne toujours la même ip ou pas?
parce que si se déconnecter suffit pour le contourner, c'est utile mais pas suffisant

sinon tu utilises déjà les cookies? en vérifiant le cookie tu pourrais déjà repéré le gars qui change d'ip mais qui n'efface pas les cookies

mais les coookies ça s'efface, donc tu as déjà vu pour créer des cookies qui s'effacent mal? (je ne sais pas si c'est légal ou pas mais parfois en créant mal un cookie il ne s'efface pas même quand on vide le cache...)

et même ceux là on fini toujours par les effacer mais c'est plus long...
et en plus si le gars utilise deux navigateurs (ou deux pc...) ça fait deux cookies

de plus autre remarque sur les ip : faut penser à ceux qui au boulot, université,... jouent (c'est mal mais bon...) et qui jouent sur des pc différents mais qui utilisent le même proxy en sortie... faudrait pas non plus les bloquer

sinon avec les ip non bidouillées tu peux tester la geolocalisation de l'ip, si tu as des doutes ça peut d'aider à vérifier (si 2 ip douteuses sont dans la même ville ou à 1000km l'une de l'autre ça change tout....)

- pour le brute force, tu comptes les echecs et tu peux bloquer temporairement la connexion après X echec (mais ça peut etre utilisé pour empecher un gars de jouer... faut vraiment réfléchir dessus...) ou alors un peu avertissement par mail et un lien dessus pour réactiver?
(sans compter que le problème peut se déplacer, on peut attaquer le mail si on le connait)

- sinon tu as accès aux logs d'erreurs, d'accès liés à ton site? (pour répérer ceux qui bidouillent en cherchant des pages)

et... je dois aller manger

vovor · 26/12/2007, 16h38

Citation:

Envoyé par Vell

Bah ... Il y'a déja pas mal de dossiers sur la sécurité des applications php sur le net.

C'est un domaine vaste, il y'a la protection des données envoyées, la protection des données enregistrées, la protection des mots de passe (cryptés, en cas de vol de la bdd les mots de passes ne sont pas utilisables), la protection des requêtes lourdes pour éviter qu'un utilisateur puisse la relancer 10 fois / seconde, etc ....

Vraiment, c'est vaste

je veux bien quelques liens parce que j'ai pas trouvé.

Vell · 26/12/2007, 22h22

J'suis sûr tu l'fais exprès

http://phpsec.org/projects/guide/fr/

Premier résultat "php+sécurité"

vovor · 26/12/2007, 23h56

A vrai dire : oui et non.

oui je m'attendais à ce genre de recherche et non je ne cherchais pas aussi large. Mes requêtes sur google etaient beaucoup plus ciblées sur le "demarchage" de l'adresse ip du client.
Tu as sans doute raison et je vais voir au niveau des sécurités d'authentification. on verra ou cela nous menera.

Vell · 27/12/2007, 06h48

Pour faire simple, tu ne peux pas faire rentrer le rond dans le carré (tu sais les jeux d'éveil

) !

Avec php tu ne pourras pas faire grand chose si ce n'est sécuriser tes applications, et limiter les dégats lorsqu'il y'a une tentative de DDOS.

Tiré du site en question :

Citation:

Note

Il n'est pas raisonnable de se fier à quoi que ce soit au niveau TCP/IP, par exemple l'adresse IP, car ce sont des protocoles de niveau plus bas, non destinés à satisfaire des activités se déroulant au niveau de HTTP. Un seul utilisateur est susceptible d'avoir une IP différente à chaque requête, et plusieurs utilisateurs pourraient avoir la même adresse IP.

24/12/2007, 09h34	#1
vovor Nouveau Membre du Club Inscription : avril 2005 Messages : 113 Détails du profil Informations forums : Inscription : avril 2005 Messages : 113 Points : 27 Points : 27	[Sécurité] securité sur un site J'aimerais sécuriser un site de jeux php face aux multis. Certains débordent d'imagination et débordent tout court : ce qu'ils osent est parfois démesuré par rapport au fait qu'il ne s'agisse que d'un simple jeu : multicomptes avec plusieurs proxy, brute-force pour casser les mot de passe de leurs concurrents et bouziller leur compte, tentatives de piratage du ftp et de la bdd du serveur... c'est assez impressionnant. De même je ne suis pas un utilisateur de steganos, Tor et autres, c'est pas trop mon trip. Mais si tout le monde répond aux petits malins qui veulent utiliser ces masqueurs d'ip, que c'est facilement remontable, personne ne parle nulle part de la methode pour ce faire. A ce que j'ai vu lors de mes recherches, tout le monde parle de piratage, mais peu d'anti-piratage. Votre avis pour sécuriser un minimum un site et surtout obtenir la vraie adresse ip de l'utilisateur.
	00

26/12/2007, 11h57	#7
Léortien Membre actif Inscription : août 2002 Messages : 194 Détails du profil Informations forums : Inscription : août 2002 Messages : 194 Points : 194 Points : 194	c'est plutot intéressant ça doit être passionnant (pour d'un oeil externe pour toi ça doit pas drole) à étudier (je me suis toujours demandé comment les gens faisaient pour bidouiller ftp et bdd) - IP l'ip se change sans problème. même sans bidouille. tu te déconnectes et te reconnectes et pouf une nouvelle ip de ton fai. (sans même passer par un proxy) dans ce cas est ce que le code donne toujours la même ip ou pas? parce que si se déconnecter suffit pour le contourner, c'est utile mais pas suffisant sinon tu utilises déjà les cookies? en vérifiant le cookie tu pourrais déjà repéré le gars qui change d'ip mais qui n'efface pas les cookies mais les coookies ça s'efface, donc tu as déjà vu pour créer des cookies qui s'effacent mal? (je ne sais pas si c'est légal ou pas mais parfois en créant mal un cookie il ne s'efface pas même quand on vide le cache...) et même ceux là on fini toujours par les effacer mais c'est plus long... et en plus si le gars utilise deux navigateurs (ou deux pc...) ça fait deux cookies de plus autre remarque sur les ip : faut penser à ceux qui au boulot, université,... jouent (c'est mal mais bon...) et qui jouent sur des pc différents mais qui utilisent le même proxy en sortie... faudrait pas non plus les bloquer sinon avec les ip non bidouillées tu peux tester la geolocalisation de l'ip, si tu as des doutes ça peut d'aider à vérifier (si 2 ip douteuses sont dans la même ville ou à 1000km l'une de l'autre ça change tout....) - pour le brute force, tu comptes les echecs et tu peux bloquer temporairement la connexion après X echec (mais ça peut etre utilisé pour empecher un gars de jouer... faut vraiment réfléchir dessus...) ou alors un peu avertissement par mail et un lien dessus pour réactiver? (sans compter que le problème peut se déplacer, on peut attaquer le mail si on le connait) - sinon tu as accès aux logs d'erreurs, d'accès liés à ton site? (pour répérer ceux qui bidouillent en cherchant des pages) et... je dois aller manger __________________ Tout le monde savait que c'était impossible. Il est venu un imbécile qui ne le savait pas et qui l'a fait. (\ _ /) (='.'=) Voici Lapinou. Aidez le à conquérir le monde (")-(") en le reproduisant. Spidercochon, spidercochon, il peut marcher au plafond ...MM ......Voici Spidercochon. Aidez le à conquérir le monde E(....)~....en le reproduisant. ...w
	00

24/12/2007, 11h32	#2
Vell Membre actif Inscription : janvier 2006 Messages : 149 Détails du profil Informations personnelles : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations forums : Inscription : janvier 2006 Messages : 149 Points : 186 Points : 186	Bonjour, Tu n'as pas du bien chercher http://www.frameip.com/smartspoofing/
	00

24/12/2007, 14h54	#3
vovor Nouveau Membre du Club Inscription : avril 2005 Messages : 113 Détails du profil Informations forums : Inscription : avril 2005 Messages : 113 Points : 27 Points : 27	oui j'avais vu pour le spooling. Mais en général la protection recommandée, c'est coté serveur. Moi je gere pas cette partie vu que je suis chez un prestataire qui heberge mon serveur. C'est au niveau de la reconnaissances des ip coté client (code php) que j'aimerais avoir une bonne précision.
	00

24/12/2007, 18h23	#4
Vell Membre actif Inscription : janvier 2006 Messages : 149 Détails du profil Informations personnelles : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations forums : Inscription : janvier 2006 Messages : 149 Points : 186 Points : 186	Bonjour, Si je ne me trompe pas tu n'auras pas un accès suffisant sur la machine pour gérer la trame IP et donc savoir si l'ip est masquée ou non. Tout ce que tu peux faire c'est côté serveur, côté client tu ne peux rien faire (php c'est côté serveur ...)
	00

24/12/2007, 23h39	#5
vovor Nouveau Membre du Club Inscription : avril 2005 Messages : 113 Détails du profil Informations forums : Inscription : avril 2005 Messages : 113 Points : 27 Points : 27	tu m'as eu! ce que j'entendais par là, c'est que c'est le client qui genere le lancement du script au lancement de la page. LA plupart de ce qui est proposé, c'est firewall, table ip et autres joyeusetés... mais je vois rien qui puisse aider coté php. (ou meme js (au pire ))
	00

25/12/2007, 23h20	#6
Vell Membre actif Inscription : janvier 2006 Messages : 149 Détails du profil Informations personnelles : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations forums : Inscription : janvier 2006 Messages : 149 Points : 186 Points : 186	Bah ... Il y'a déja pas mal de dossiers sur la sécurité des applications php sur le net. C'est un domaine vaste, il y'a la protection des données envoyées, la protection des données enregistrées, la protection des mots de passe (cryptés, en cas de vol de la bdd les mots de passes ne sont pas utilisables), la protection des requêtes lourdes pour éviter qu'un utilisateur puisse la relancer 10 fois / seconde, etc .... Vraiment, c'est vaste
	00

26/12/2007, 22h22	#9
Vell Membre actif Inscription : janvier 2006 Messages : 149 Détails du profil Informations personnelles : Âge : 28 Localisation : France, Ille et Vilaine (Bretagne) Informations forums : Inscription : janvier 2006 Messages : 149 Points : 186 Points : 186	J'suis sûr tu l'fais exprès http://phpsec.org/projects/guide/fr/ Premier résultat "php+sécurité"
	00

26/12/2007, 23h56	#10
vovor Nouveau Membre du Club Inscription : avril 2005 Messages : 113 Détails du profil Informations forums : Inscription : avril 2005 Messages : 113 Points : 27 Points : 27	A vrai dire : oui et non. oui je m'attendais à ce genre de recherche et non je ne cherchais pas aussi large. Mes requêtes sur google etaient beaucoup plus ciblées sur le "demarchage" de l'adresse ip du client. Tu as sans doute raison et je vais voir au niveau des sécurités d'authentification. on verra ou cela nous menera.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email