Discussion :

[Calhendren]

Bonjour,

Afin de sécuriser les données des utilisateurs se connectant au "Back-Office" d'une application web, je dois mettre en place un protocole SSL. Cela est chose faite...

Cependant, l'authentification se fait au moyen d'une requête de connexion AJAX, et les données sont visibles en clair dans la Console Firebug. Tout d'abord; est-ce normal?
Autrement dit: la requête se déroulant côté client, est-ce que seul le client sera capable de voir les données POST, ou une tierce personne espionnant les pacquets sera-t-elle capable de les voir en clair aussi ?

Ma requête ajax est la suivante:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Ext.Ajax.request({
	url: 'https://localhost/Classe/BO/actions_ajax_utilisateur',
	method: 'POST',
	params:
	{
		action:'verification',
		cp:Ext.getCmp('cp').getValue(), //identifiant de l'utilisateur
		mdp:Ext.getCmp('mdp').getValue() //son mot de passe
	},
	success: function (result, request) 
	{
		msgAttenteModif.hide();
 
		if(result.responseText.indexOf('redirection', 0) != -1)
		{
			//en cas de succès, on accède à la page d'administration
			window.location="administration.php?page=tableaudebord";
		}
		Ext.getCmp('control').setText(result.responseText,false);
	},
	failure: function (result, request) 
	{
		msgAttenteModif.hide();
		Ext.getCmp('control').setText('erreur de connexion');
 
	}
 
});

Une petite image pour illustrer mes propos (j'ai caché volontairement le CP et le MDP):

Ne pas se soucier de la ligne POST https:// ... 200 OK 147 ; elle correspond à une déconnexion préalable.

Au final, ma question est la suivante: les données de cette requête AJAX sont-elles susceptibles d'être interceptées ? Si oui, circuleront-elles en clair sur le réseau ?

Merci d'avance de votre aide...

PS: Quelqu'un aurait-il un tuto sous le coude pour vérifier, en local (avec WAMP), les paquets qui transitent - du style Wireshark ? Histoire de savoir comment faire...

[Calhendren]

Double-post pour indiquer que j'ai finis - après plusieurs heures de galère - à solutionner mon problème...

Tout d'abord pour Firebug: les données m'apparaissent en clair quelque soit le site que j'aie testé - en https ou non;
Ensuite, le protocole SSL que j'ai mis en place chiffre bien les données qui passent, que ce soit à travers la requête AJAX, le LDAP appelé ou autre;
Enfin, Wireshark est possible à utiliser en précisant quel port écouter (port 443) et en utilisant le mode "Online" de WAMP.

Merci tout de même à celles ou ceux qui auraient commencé à cogiter sur mes questions.