Discussion :

[TOPGUN89]

Bonjour à tous,

J'ai developpez une application sous websphere (java & jsp)

celle-ci recupere le login de Windows vérifie que l'utilisateur à bien les droit en interrogeant la ldap de mon server AD et créer une session avec le nom de login les droits le nom de l'ecran et le dn de l'AD ainsi qu'une mise à jour des logs.

Ceci est pour la premiere page de l'application.Celle-ci comporte plusieur page.

Que faut-il que je vérifie grace au données mis dans ma session afin d'etre sur que l'utilisateur à bien le droit d'etre sur les autres pages de l'application?

Faut-il que je vérifie que l'utilisateur est bien dans l'AD?
Faut-il que je vérifie simplement que ma session existe?
Est ce que je suis bien protégé rien qu'avec ma session et faut-il que je la verifie souvent (à chaque chargement de page)?

Voila plusieurs questions de sécurité que je me pose,
Pouvez vous m'éclaircir sur ces points ?

Merci d'avance

[TOPGUN89]

alors comme ça personne ne peut m'aider sur mon petit probleme de session.

Je vais essayer de reformuler ma demande alors :

Est ce que le simple fait de faire une session permet de sécuriser mon application web?

merci d'avance à Tous

[n@n¤u]

Bonjour TOPGUN89,

j'ai une question pour toi (ou n'importe quelle autre personne qui sache me répondre) :
Comment fais-tu pour récupèrer le login windows de l'utilisateur qui se connecte à ton appli ?

Merci bien

[yolepro]

Oui étant donné que la session est coté serveur (c'est toi qui la compose avec les elements que tu souhaites), alors tester un element de cette session peut etre suffisant.

Maintenant, tu n'es pas a l'abri de faille de sécurité : c'est dailleurs pour cela que dans les sites de paiement en ligne, même si tu es relogué automatiquement, lors d'achat ton mot de passe peut etre redemandé.

[questionneuse]

Bonjour TOPGUN89,

j'ai une question pour toi (ou n'importe quelle autre personne qui sache me répondre) :
Comment fais-tu pour récupèrer le login windows de l'utilisateur qui se connecte à ton appli ?

Merci bien

tu peus faire comme ceci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
<script language="Javascript">
    var WshNetwork=new ActiveXObject("WScript.Network");
    var e;
    function exchange()
    {
         try{
         document.all.form1.userName.value=WshNetwork.UserName; 
        // document.all.form1.userName.value="toto";
        }
        catch(e){document.all.form1.userName.value="exception"}
    }
</script>
<form name="form1" >
<input type="button" name="auth" onclick='exchange()'>
<input type="text" name="userName" value="vrefv">
</form>

en java je crois que c'est impossible ...

[n@n¤u]

J'ai l'impression qu'il me manque qqchose car une exception se lève.

[woodwai]

Les problèmatique de sécurité sont toujours compliquée. Quelques éléments de réponses :
- La session est basé sur un ID unique généré par websphere (souvent crée en temps que cookie de session dans le browser). Elle n'est pas totalement sécurisée, un hacker peut hacker une session HTTP et donc en lire les données.
- Une sécurisation totale doit passer par une session cryptée (en SSL), avec module d'authentification (personnelement, j'utilise une authentification via webseal, qui s'interface parfaitement avec websphere). Mais tout dépend du niveau de sécurisation voulue de ton application (est-ce que réellement tu craint des hacker de haut niveau qui voudrait voler des informations confidentielle transitant pas ton applicaton).
- Un system basique pourrait être de mettre en session une clé d'authentification et de tester cette clé à chaque page. Tu peut aussi généré une clé à chaque page (en fonction de données utilisateur) et de vérifier que cette clé ne change jamais (ça te protège du hacking de session).

Sinon, une remarque pour ton system de detection de user name, il utilise un ActiveX : MAUVAIS, ActiveX est une technologie IE uniquement, hors la part de marché de IE (qui décroit sans cesse) est entre 75 à 80%, donc d'office beacoup de gens ne pourront pas utiliser ton application.

Je pense qu'on peut trouver le userName en JAVA via une System Property.

[questionneuse]

si tu as une solution en java woodwai je suis preneuse :p

Mais je cherche depuis 2 , 3 jours mais j'ai rien trouvé de moins complexe..
Là il s'agit juste d'un script, et de modification dans le browser du client..

Les activeX oui c'est pas trés sécurisé mais si c'est pour un intranet il suffit de baisser la sécurité uniquemnent pour ton réseau local, et de permettre les activex que là, ce qui n'est donc pas grave vu que les intranets de ton entreprise normalemnt n'envoie pas d'activeX "méchant"..

De plus il y a des plugin que le client peut pluger pour opéra, netscape et mozilla qui permettent de lire les activeX (j'ai remarqué que google utilisait des activeX)

Enfin, n@n¤u il faut changer des param de sécurité pour que ca marche va ici:

http://www.inoculer.com/activex.php3

[woodwai]

récupérer l'utilisateur en java :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
String userName = System.geProperty("user.name");

Excusez-moi ce post qui ne répond pas à la demande

[questionneuse]

oui mais ca va récupérer le nom du user du serveur pas du client puisque mon code tourne sur le serveur..

[woodwai]

oui oui oui, excusez-moi tous, je ne sais plus ce que je dit!

Apparement, cette question est débatue aussi ici :
http://www.developpez.net/forums/sho...d.php?t=135433