IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] PHP, identification unique ?


Sujet :

Langage PHP

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre éprouvé Avatar de speedev
    Profil pro
    Développeur Web
    Inscrit en
    Mai 2006
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 051
    Par défaut [Sécurité] PHP, identification unique ?
    Bonjour,

    Je développe un site expérimental en php/ajax/smarty avec Gestion d'utilisateurs.

    Je recherche LE système de sécurité le plus efficace possible.
    Petit aperçu de mon système actuel:
    - Stockage en DB des logins+pass et ip
    - Création de sessions contenant login+pass ($_session) si connexion valide.
    - Modules de contrôle d'existence de session, de login et de Ban (si un user est banni sur IP ou sur login, reco au bout de 15/30 minutes) sur chaque page.
    - Timer JS/AJAX sur chaque page qui deconnecte un utilisateur automatiquement (à une seconde prêt) si l'administrateur l'a banni de lui-même ou s'il a tenté 3 connexions échouées (MAJ dans la table des IP).

    Biensur mon système ne me convient pas tout à fait. En effet puisque je me sers de l'IP de l'utilisateur pour le bannir, un réseau local derrière un routeur se verrait banni entièrement (pdt les 15/30 minutes décidées) puisque l'IP publique est la même pour chaque poste (c'est le cas du système de ban de developpez.com d'ailleurs ... j'ai banni les développers de ma boite pdt 15 minutes hier lol).

    Donc, actuellement, lors d'un ban sur ip, il suffit pour l'utilisateur de se reconnecter, de se voir attribuer une nouvelle ip et de refaire des tentatives de connexion au site. Un acharné ne serait pas dérangé par ce système.

    Il n'y a pas d'identification unique d'un poste sur internet, seulement avec le FBI, les crackers etc...qui font des prouesses sans arrêt, je me dis que peut-être une astuce existe! J'ai pensé récupérer des informations locales diverses par javascript seulement c'est transparent et pas très "pro".

    Je ne compte pas utiliser d'activeX ni même de WSH etc...

    Je pourrais éventuellement utiliser l'HTTP_USER_AGENT ou l'HOST de la trame mais c'est facile à contourner en utilisant un autre navigateur etc...etc...

    Simplement : Comment bannir un poste situé derrière un réseau local qui dispose d'une IP publique unique? Héhé, on va me dire "pas possible" mais je ne sais pas pourquoi...je suis têtu de sentir que c'est POSSIBLE en récupérant une certaine information unique bidon et infalsifiable (genre une clé, une version d'un soft, quelquechose d'absolu) mais bon ça se saurait!
    Simplement2: Y voyez-vous un autre système de sécurité pour mon site?

    Merci

  2. #2
    Membre éprouvé Avatar de speedev
    Profil pro
    Développeur Web
    Inscrit en
    Mai 2006
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 051
    Par défaut multipost
    Hey c'est spé, ça fait deux fois en deux jours que je fais un multipost ss le vouloir, et deux fois que developpez.com me déllogue à l'envoi du message, pourtant il transfère bien le message apparement..ya un hic de dev!

  3. #3
    Rédacteur/Modérateur

    Avatar de gorgonite
    Homme Profil pro
    Ingénieur d'études
    Inscrit en
    Décembre 2005
    Messages
    10 322
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'études
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2005
    Messages : 10 322
    Par défaut
    Comment bannir un poste situé derrière un réseau local qui dispose d'une IP publique unique? Héhé, on va me dire "pas possible" mais je ne sais pas pourquoi...je suis têtu de sentir que c'est POSSIBLE en récupérant une certaine information unique bidon et infalsifiable (genre une clé, une version d'un soft, quelquechose d'absolu) mais bon ça se saurait!
    un cookie...mais il peut le supprimer
    Evitez les MP pour les questions techniques... il y a des forums
    Contributions sur DVP : Mes Tutos | Mon Blog

  4. #4
    Rédacteur/Modérateur

    Avatar de gorgonite
    Homme Profil pro
    Ingénieur d'études
    Inscrit en
    Décembre 2005
    Messages
    10 322
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur d'études
    Secteur : Transports

    Informations forums :
    Inscription : Décembre 2005
    Messages : 10 322
    Par défaut
    voyez-vous un autre système de sécurité pour mon site?
    perso, je separerais encore plus la gestion des utilisateurs grace a un ldap, mais bon tout depend comment tu heberges ton site...
    Evitez les MP pour les questions techniques... il y a des forums
    Contributions sur DVP : Mes Tutos | Mon Blog

  5. #5
    Rédacteur

    Avatar de Yogui
    Homme Profil pro
    Directeur technique
    Inscrit en
    Février 2004
    Messages
    13 721
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yonne (Bourgogne)

    Informations professionnelles :
    Activité : Directeur technique

    Informations forums :
    Inscription : Février 2004
    Messages : 13 721
    Par défaut
    Salut

    Il y a déjà un sujet de 8 pages à ce sujet. Je te propose de le parcourir et de nous faire part là-bas de tes remarques :

    [Login membre] Sécurité TOTALE !!!

  6. #6
    Membre éprouvé Avatar de speedev
    Profil pro
    Développeur Web
    Inscrit en
    Mai 2006
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 051
    Par défaut Survol et reformulation
    Merci beaucoup, j'ai survolé le topic mais ça ne me concerne pas, il est bien trop généralisé et s'embarque trop rapidement dans un débat puriste sur la sécurité parfaite des servers dédiés lol (d'où sa mise en POST-IT).

    Je ne compte pas utiliser l'HTTPS ni SSL ni de HASH md5.

    Il s'agit d'un site expérimental que je développe destiné pour l'instant à rester expérimental à ne pas être dédié et à fonctionner comme tout site classique PHP qui dispose d'un système d'authentification ...

    Je recherche un système de sécurité qui n'existe pas et qui est "infaillible" (haaa là j'ai tout de suite l'air idiot lol), c'est pourquoi je vais reformuler ma question:

    "Quelle est selon vous la (ou les) donnée native récupérable PHP/JAVASCRIPT la plus explicite dans l'identification d'un poste sur le 'web' ??"

    Par ailleurs je tiens à préciser que les éventuels membres du site seront ou bien des amis ou bien de la famille (totale confiance dans les deux cas), je n'envisage donc aucune protection interne contre les membres.

    Là où j'en suis actuellement c'est que je ban qlqun qui tente de se connecter plus de trois fois (débanni au bout de 15 minutes), seulement je ban en mm tps tous les postes se trouvant derrière un réseau local (l'ip publique étant la mm pour chaque poste)...VOILA! Haaa j'aurai dû commencer par là! Je veux pouvoir bloquer définitivement un poste et cela mm si c'est impossible ( ).

    Merci!

  7. #7
    Membre averti
    Profil pro
    Inscrit en
    Février 2006
    Messages
    41
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2006
    Messages : 41
    Par défaut
    si ça peut t'aider :

    le site kadokado.com interdit la création de plus de deux comptes par jour depuis la même IP (tu suis ?), en tout cas c'est ce qu'ils disent ("IP"). Car à mon univ, il suffit de se mettre sur le poste d'à côté pour pouvoir recréer un compte, alors que la limite est atteinte sur le premier PC. Pourtant vu du net, les 2 ont sûrement la même IP !

    Donc il doit exister une solution. (je dis n'importe quoi, mais l'adresse physique est peut-être visible par PHP non?)

    De toutes façons, il est mauvais aussi de bannir un PC, s'il est public...

  8. #8
    Membre éprouvé Avatar de speedev
    Profil pro
    Développeur Web
    Inscrit en
    Mai 2006
    Messages
    1 051
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mai 2006
    Messages : 1 051
    Par défaut pas d'@ mac
    L'adresse mac est dans la couche physique et invisible sur le net.
    Dans ton cas c'est le routeur qui est l'explication logique...
    Le routeur renvoi la requête à l'adresse IP LOCALE de ta machine donc.
    C'est pourquoi chaque poste peut recréer un compte.

    Dans mon cas je récupérère l'adresse du routeur (évidement).

    Merci de ta réponse

Discussions similaires

  1. AS400/PHP - Identification execution de RPG ou CLLE
    Par sananas dans le forum AS/400
    Réponses: 0
    Dernier message: 08/02/2008, 11h41
  2. Identification unique de processeur ou de disque dur
    Par dingoth dans le forum Composants
    Réponses: 6
    Dernier message: 03/07/2006, 14h12
  3. algo pour identification unique
    Par quiyai dans le forum Algorithmes et structures de données
    Réponses: 6
    Dernier message: 05/07/2005, 12h42
  4. Réponses: 2
    Dernier message: 05/10/2004, 22h43

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo