Discussion :

[Sub0]

Salut Swoög!

C'est bien ça ???

oui je crois.

..."comme phpBB", àa savoir, stocker la configuration dans une table de BDD...

PhpBB2 ne stocke pas ces infos dans la bdd mais dans un fichier!
Comment veux-tu accèder à la bdd si ses identifiants sont eux-même dans la base?
Je préfère un fichier de config... c'est plus approprié dans ce cas précis.

C'est la N°22 que j'aurai bien aimé discuter... Apporte-t-elle vraiment une sécurité?

[Swoög]

Pour phpBB, seuls les identifiants d'accès à la BDD sont dans un fichier, le reste est dans la table config de phpBB....

Pour la 17, je veux bien le faire, il me faudrait juste les dernières versions des fichiers

Pour la dernière, je suis persuadé que la connexion SSL est plus sécurisée et suffira amplement, mais si le SSL n'est pas activé, il faudrait peut-être quelque chose pour sécuriser le transfert des fichiers.....

le plus simple serait peut-être un codage du style RSA ou autre à clé publique en JS... par contre, je ne sais pas si c'est possible.....

[Sub0]

Bon, je termine la v2 et tu ajouteras session_regenerate_id()...

En ce qui concerne l'encryptage des données envoyées par le client, il me semble que l'on en avait déjà longuement discuté dans l'autre topic sur le forum PHP. Je prévois d'intégrer le code de Bob dans la V3 en attendant de trouver mieux (ce qui m'étonnerait).

En tous les cas, la V2 n'est pas super sécurisée par rapport à la V1. Elle corrige certaines choses, ajoute quelques fonctions et paramètres... C'est tout. Le gros travail au niveau de la sécurité se fera dans la V3...

à+

[Sub0]

Fatal error: Call to undefined function: session_regenerate_id() in ...

(PHP 4 >= 4.3.2, PHP 5)
Il faudra prévoir un contrôle de la version PHP pour utiliser cette fonction, car même avec un arobas, ça génère une erreur: Par exemple, le script connect.php m'affiche une page vierge...
Pour le moment, je la met de côté en attendant de trouver une solution, à+

[Swoög]

Je viens de trouver ça : http://fr.php.net/manual/fr/function.phpversion.php

je m'arrangerais pour faire une petite fonction qui ne le lance que si la version de PHP le supporte...

[nic58]

très intéressant, c'est vraiment du bon boulot tout ça

N°22 - Chiffrer avec JS l'envoi du mot de passe au serveur (md5+permutation).

Arf! Je préfère plutôt insister sur la nécessité d'utiliser SSL, non? Qu'en pensez-vous?

je pense qu'il vaut mieu utiliser SSL que JS : on sait jamais si le navigateur n'accepte pas le javascript, ou qu'il fait des choses bizars avec, ça serait pas génial. Meme si c'est peu probable, "tout ce qui peut arriver arrivera", alors pour de la sécurité totale, je pense qu'il vaut mieu tout faire côté server
Ou alors, il faudrait que ça soit un plus, voir une option activable ou non.

[Sub0]

Salut!

Ou alors, il faudrait que ça soit un plus, voir une option activable ou non.

Tout à fait, ce serait une option. En plus, PHP permet de savoir si c'est une connexion sécurisée ou non avec $_SERVER['HTTPS'], et en fonction, d'intégrer ou non la fonction de cryptage en Javascript.

Autre chose; Durant ce mois-ci, j'ai eu l'occasion d'installer un espace membre sur un site, et je me suis rendu compte de certaines choses intérressantes.
• La 1ère, est au niveau de l'intégration du projet. On peut utiliser une IFRAME pour intégrer le projet dans une page, mais ça reste assez compliqué qu'en même. Sinon, j'ai remplacer tous les DIE du projet par des RETURN + une variable globale ($exit) pour que l'affichage de la page principale ne soit pas interrompue par un message d'erreur de l'espace membre.
• La 2ème chose est au niveau des sessions. J'ai remplacé les sessions par des fonctions qui enregistrent et gèrent la durée de session avec la base de données, en identifiant le membre avec son IP et quelques variables de sa config. Le projet s'intègre maintenant avec un simple include et ne perturbe pas le reste de la page.

à+

[j0k3r_n0ir]

Salut @ tous !
Je vois que tout le p'tit projet avance bien et que la participation y est grande ! C'est sub0 qui doit etre content :p

Je rentre de vacances et j'ai pas encore testé la version. Si ce n'est que s'enregistrer via le lien de test. J'espere pouvoir la tester assez rapidement pour apporter aussi mes commentaires. Sinon je me plongerai plus dans le projet dans la v2...

Continuez ainsi !!

[fisico]

Excusez-moi mais où peut-on trouver ce fameux code ? J'ai cherché le lien mais je n'ai pas trouvé !

[yoann0038]

Excusez-moi mais où peut-on trouver ce fameux code ? J'ai cherché le lien mais je n'ai pas trouvé !

Je suis effectivement dans le même cas !!!

[j0k3r_n0ir]

La version 1 est disponible seulement aux développeurs qui y ont participé au projet.
Je cite sub0 :

La 1ère version est destinée uniquement aux développeurs ayant participer au topic dans les forums PHP

La version 2 sera publique ...

[Sub0]

Effectivement. Je voulais aussi avoir l'avis de tous les participants, si on est tous d'accord pour proposer la v2 et les versions suivantes en téléchargement... Je voulais aussi modifier le code au niveau des 2 points que j'ai expliqué précédemment... Bientôt. a+

[Swoög]

OK pour moi...

[j0k3r_n0ir]

Je suis d'accord pour la publication de la v2 et des autres.
On pourra certainement trouvé d'autres problèmes en le diffusant.
Ca peut etre interessant

[j0k3r_n0ir]

J'aimerai apporté un peu ma contribution pour ESPMEM V2.... mais si je veux faire des modifs selon la maj v2, je l'effectue directement sur le script de la v1 ....
Etant donné que des modifs on déjà étaient faites, je pense qu'une version entre la 1 et 2 doit tourné...
Fin je sais pas trop ....

[Sub0]

Oui, je vais la mettre la v2 en ligne ce week-end.
En attendant, je te l'envoi par mail si tu veux (?)

[j0k3r_n0ir]

Ouais ok...
Mais tu parles de la v2 .. elle est finie ?
Si elle est pas finie pourquoi la mettre en ligne ?

[Sub0]

La v2 est finie je pense.

[j0k3r_n0ir]

Ah ok je ne savais pas ... mais pourtant il reste des trucs a effectuer au vu de la liste de choses a faire pour la v2 ... moins que tu ne l'es pas mise à jour...

Bon ben je contribuerai a la v3

[Sub0]

Oui, il reste des choses à faire dans la maj_v2.
En fait, nous les repoussons pour la v3...
La v3 ajoutera toutes les fonctions de sécurité dont nous avons parlé.
Je m'occupe cet aprem de mettre la v2 et sa démo en ligne.

Pour info, nous recherchons des graphistes pour nous aider à créer le design du site & forum du projet...
Merci d'avance!