Discussion :

[kheraud]

Bonjour,

Je me doute que de nombreuses questions abordant ce thème ont été posées sur le forum. Mais je n'ai pas trouvé de réponses complètes, du coup, je repose la question.

Je souhaite faire un site dont le fonctionnement sera similaire à celui de gmail :
- Récupération d'une page
- Envoi de requêtes sans rafraichissement de la page (AJAX).

Je me pose beaucoup de questions sur la sécurité d'une telle application online. Ayant analysé les cookies et requêtes Gmail je suis assez perplexe sur la meilleure manière de faire pour sécuriser les échanges de données.

Mes questions sont les suivantes :
- Il semble possible de faire de l'https AJAX. Quel est l'inconvénient d'une telle manière de faire ?
- l'utilisation de sessions ($_SESSION, et oui le serveur sera en php...) est-il suffisamment sûr ?
- Certaines personnes désactivent les cookies. Comment garder une authentification sur le serveur malgré cela ?
- Quel est selon vous la meilleure manière d'avoir des échanges sécurisés entre le client web et le serveur. Je précise que je ne cherche pas à crypter tous les échanges. Je veux juste m'assurer que celui qui sollicite le serveur est bien celui qui possède le compte (le vol de session aurait des conséquences graves) ?

Merci pour votre aide (et votre patience avec les débutants)

K.

[kheraud]

Merci pour ta réponse, mais l'url en question ne pointe que vers de la document technique. Ce que je cherche c'est des bonnes pratiques AJAX pour sécuriser les échanges.

Je vous fait un retour des informations que j'ai pu lire.

La principale faille existant est l'accès depuis AJAX à un autre host que celui qui a fourni la page. Il semblerait que la manière la plus répandue pour faire cela soit le "Cross Site scripting". Je vous invite à lire cet article sur le sujet

Le reste des failles qu'il peut y avoir sont des failles qui ne sont pas propre à AJAX mais plutôt à l'authentification en générale.

La question que je me pose est la suivante :

Je propose de faire l'authentification des personnes de trois manières :
- transmission en claire avec une méthode POST ou GET du login/mdp
- Sécurisation de la phase de login en HTTPS, puis bascule sur une page non sécurisée. Changement de l'identifiant de session après login.
- Utilisation de Javascript pour hashé le mdp fourni par l'utilisateur (md5(login+jeton+microtime) par exemple) et envoie en clair du login + hash.

- Quels sont les avantages et inconvénients de ces méthodes ?
- Laquelle à votre préférence ?
- En voyez-vous d'autres plus performantes ?

Merci pour votre aide,

K