[Sécurité] Sécurité totale pour un espace membre [Débat]

Salut!

Je dois réaliser pour une société d'hébergement de site internet, un formulaire "partie membre", avec inscription, identification, connexion automatique (cookie), etc... Le tout grâce au PHP et une base de donnée MySQL. Une fois logé, le membre peux obtenir et modifier ses informations perso...

Je voulais utiliser au départ les variables de session, mais j'ai lu sur le net, qu'il y avait des risques que d'autres personnes puissent récupérer des infos juste en modifiant l'ID de session... Je cherche un système fiable au maximum... et/ou peut-être l'améliorer...

J'ai besoin de vous pour me guider, merci!

Envoyé par m@

...les variables de sessions sont fiables quand elles sont utillisées avec HTTPS

Je vais me renseigner...

Envoyé par KoO

dejà, rien n'est jamais secure à 100%

Je n'adère pas, car ce n'est pas justifié pour le moment!

Envoyé par KoO

ou encore utiliser l'authentification HTTP

C'est à dire?

Envoyé par KoO

register_globals = off est obligatoire pour une bonne sécurité. Tu peut aussi désactiver l'affichage des erreurs, après la phase de developpement : error_reporting(0)

Oui, ça c'est prévu depuis le début...

Envoyé par KoO

jete aussi un coup d'oeil sur des projet connus :
http://www.mamboserver.com/
http://www.oscommerce.com/

Trop de choses m'échappent pour que ces systèmes me semblent sécurisés! Bien au contraire!
Quant à oscommerce... : http://www.oscommerce-fr.info/forum/...hp/t22391.html

Merci d'avance.

si tu n'est pas en HTTPS, tu peut faire crypter les données que le client tenvoie depuis un formulaire, avec une fonction JavaScript (md5). Ainsi, tu n'as plus (moins) de problèmes d'interception des variables $_POST

cool et pour décrypter le md5, une idée ?
remarque, c'est vrai que niveau interception, t'es plutôt protégé !

sinon, pour l'auth HTTP, les infos transitent en clair, et sont à la portée de n'importe quel sniffer, idem d'ailleurs pour les cookies et les vars de session.
si ton site est réellement sensible HTTPS est indispensable

à chacun ses idées fixes...

alors re :

1. ton code ne sera probablement pas aussi fiable
2. tu ne pourras pas décrypter les données, et les comparer n'est pas par exemple pas applicable pour rentrer une quantité, etc$
3. tu ne pourras pas crypter toute ta page puique comme le dit doof, le browser ne connaît pas le protocole.
4.en particulier toutes les infos HTTP (sessions, cookies...) sont en clair

bien sûr tu peux les crypter, mais le problème reste le même :

1. ou tu les hashes et elles sont indécryptables
2. ou tu les cryptes avec un algo maison potentiellement foireux
3. ou tu te sers d'une solution pro et retour à HTTPS et co

j'en profite pour rajouter un ptit mot sur le Security Through Obscurity qui regroupe toutes les pratiques consistant à brouiller les traces par des bidouilles, dissimuler le code source, etc... et dans lequel je range aussi les algos de crypt amateurs pour lesquels, (mais ne l'aurez vous pas compris ?) je n'ai pas beaucoup d'estime.
de façon générale, un tel comportement de la part d'un développeur entraîne 3 conséquences.

1. Illusion de sécurité, car "personne n'est au courant"
2. Découverte de failles facilitée par l'absence de travaux d'experts sur la méthode utilisée
3. en cas de découverte de faille, ralentissement du processus de patch, car peu de monde en a les compétences et le recul nécessaire.

à contrario, des standards tels que SSL profitent d'une grande réactivité, car ils sont par définition publics et qu'un très grand nombre de personne les ont étudié et ont les compétences pour trouver et patcher les failles.

cordialement

PS : moi aussi je le verrais bien en POST-IT ce ti topic

*les puristes de la métaphore vont me tomber dessus, mais en gros on peut assimiler https à un tunnel inviolable entre un ordinateur A et un ordinateur B. tout ce qui part de A arrive sans possibilité de détournement ou de corruption en B.

(ne lisez pas ça si vous êtes déjà perdu : un serveur peut acheter un certificat SSL, qui est certifié par une autorité indépendante assurant que ce serveur B appartient bien à telle société ; pour reprendre l'image, on sait donc avec sûreté, où arrive le tunnel)

*après rien n'authentifie A qui peut très bien être un méchant pirate. c'est là qu'est nécessaire l'auth par mot de passe, que ce soit via HTTP ou autre.
en effet même si les mots de passe ne sont pas cryptés par HTTP, ils voyagent en toute sécurité dans notre "tunnel" HTTPS

*quant'aux personnes ne pouvant pas utiliser HTTPS, cela sous entend que vous ne disposez pas de serveur dédié, etc... et donc que votre projet n'est pas d'une importance exceptionnelle, qu'il ne contient pas d'infos particulièrement sensibles, et qu'il ne vas pas attirer 75% des hackers de la planète.
dans ce cas, il semble raisonnable de se baser sur une authentification en clair, de stocker les mots de passe cryptés sur le serveur et d'éduquer vos utilisateurs à en changer souvent.

cordialement

Salut! Merci à tous pour vos réponses!
J'ai mis le topic en post-it... Je fais le point de la situation:


Veuillez confirmer svp :

• 1) Mon développement est destiné à un hébergeur de site et celui-ci possède sa propre salle blanche. Il devra utiliser le module SSL d'Appache, seulement j'imagine qu'il devra payer une licence...
  2) De mon côté, je n'aurai rien de particulier à faire , la seule différence se situera au niveau l'URL des pages qui commenceront par "https://" au lieu de "http://"...
  3) Une fois cela en place, j'aurai donc la garantie que toutes les informations qui transiteront entre les serveurs et les utilisateurs ne pourront-être interceptées et/ou décryptées par qui que ce soit...

Grâce au JavaScript et au PHP, je peux déjà récupèrer quelques informations sur le visiteur : IP, host, port, proxy, navigateur, etc... Ces informations permettront une 1ère identification sans avoir à réclamer le mot de passe du membre. Je pensais utiliser ce système pour remplacer le cookie. Dans le cas d'un doute sur l'identité du membre, celui-ci devra s'identifier... Lorsque un certain nombre consécutif d'identifications auront échoué, l'accès du compte sera bloqué et un mail sera envoyé au support technique pour signaler le compte bloqué, ceci afin d'éviter que quelqu'un puisse obtenir l'accès par "force-brute"...
4) Qu'en pensez-vous?


Autrement, le membre sera logé. Il pourra alors accèder à ses informations et les modifier. Pour que le membre puisse visiter une page ou bien remplir un formulaire, j'ai besoin de son login en paramètre de l'URL, pour pré-renseigner les champs de saisie par exemple... Je rècupère le pseudo et le mot de passe qui se trouvent dans l'URL avec $_GET. Ces 2 informations seront légèrement encodées et passées de page en page...
5) Y'a-t-il un danger quelconque à cela?


Merci de votre aide!

1.ton hébergeur ne devra pas payer l'utilisation du module SSL mais un certificat, c'est à dire que son serveur sera identifié de façon fiable comme étant celui de sa société et non celui d'un pirate.

2.le couple (IP,port) identifie un visiteur de façon unique. toutefois, il peut évoluer avec le temps, ce qui risque de compliquer le suivi de ton visiteur. mieux vaut demander le mot de passe et se servir après des variables de sessions (plutôt que de les passer par URL) ; pas besoin de les encoder.

3.enfin, il vaut mieux éviter de bloquer un compte après des échecs, il est préférable de temporiser avant d'autoriser un nouvel esai. imagine sinon la facilité qu'aurait n'importe qui à paralyser ton serveur.


4. je me propose sur le weekend de reprendre me docs et d'écrire un petit article récapitulatif sur le sujet.
l'idée vous semble-t-elle intéressante ?
quels points souhaiteriez-vous voir traiter ?

Salut Mathix! Bonjour à tous!

Effectivement, l'enregistrement des informations IP, host, port, proxy, type de la machine, navigateur, plugins, résolution d'écran, etc... sont en compléments de l'identification. Si certains de ces paramètres changent, une identification sera réclamée. Ainsi, j'évite d'utiliser un cookie. Ces informations serviront aussi de support au service technique pour le dépannage...

Au niveau des variables de sessions, pouvez-vous me dire quelles sont les fonctions qui sont vraiment indispensables? Dois-je leur donner une date limite de validité? etc...

J'ai lu quelque part sur la toile, qu'il est possible de récupérer les données d'autres membres en utilisant l'ID de la session... Qu'en pensez-vous au juste?

Merci de votre aide!

je pense quand même qu'il vaut mieux éviter de trop compliquer...
plus c'est simple moins il y a de risque d'avoir une faille.
un utilisateur qui donne le bon mot de passe est le bon utilisateur point.
et si quelqu'un réussit à intercepter le mot de passe, il est très probablement capable de transmettre les bones infos de navigateur, ip...

...sinon, pour mon récapitulatif, je pense parler de :
1. formulaires
2. https
3. cookies/sessions
4. stockage des mots de passe
5. éduquer les utilisateurs
6. bidouilles
d'autres idées :