Discussion :

[laurentSc]

Bonjour,

j'ai développé un site qui comporte un espace adhérent qui est protégé par un mot de passe : http://vercorshandisport.org. Je voudrais savoir si ce mot de passe offre une protection absolue ou si un moteur de recherche pourrait trouver l'adresse et donc contourner le mot de passe.

[thelvin]

Si les moteurs de recherche essayaient de passer outre ce genre de choses, y arrivaient et présentaient les résultats dans les recherches normales, ça se serait remarqué depuis longtemps.

Les moteurs de recherche essaient de rendre service aux gens qui s'en servent. Les gens qui s'en servent ne veulent pas pirater ton site, ils veulent trouver ton site. Donc, les moteurs de recherche font ça et pas autre chose.

Bon, ça c'est la théorie. Mais en pratique,

SI il est possible d'écrire une URL qui donne accès à la partie protégée de ton site, du genre http://tonsite.org/privee?motdepasse=toto
ET SI quelqu'un s'en rend compte et pose quelque part une telle URL vers ton site
ALORS un moteur de recherche va penser que c'est une manière normale d'accéder à ton site et va possiblement indexer tout ce qu'il trouve d'intéressant derrière cette URL et les autres qu'on peut trouver sur la page. (Enfin il faut pas trop compter dessus quand même si par le plus grand des hasards la session est définie par cookie : les moteurs de recherche n'aiment pas trop qu'on leur demande de retenir un cookie pour visiter le site.)

Je constate que ton mot de passe est envoyé par POST. Il est impossible de faire un POST avec une simple URL. Elles ne font que des GET. Si ton serveur n'accepte de lire le formulaire d'authentification que par POST et pas par GET, une telle chose devient impossible.

... Mais bon, je me répète, c'est surtout que les moteurs de recherche n'essaient pas de faire ça et qu'il faut vraiment leur faire croire que ce serait normal avant qu'ils y aillent.

[cavo789]

Bonjour

Sur quel type de framework est basé ton site ? Des scripts que tu écris toi-même ou un CMS ?

Si tu fais toi-même tes scripts (bravo!), songe à bien sécuriser ton programme. As-tu vérifié la validité syntaxique (ce qu'on nomme aussi la "sanitization") de la valeur postée ? Il y a quantité de tutoriels sur internet à ce sujet. Le but : s'assurer que la valeur postée n'est pas p.ex. rédigée de telle manière qu'on bypasse ton code et que le contrôle est supposé vrai à chaque fois (s'intéresser aux SQL Injections pour cela).

Bonne journée.

[laurentSc]

Bonjour,

j'écris moi-même les scripts.
Jamais entendu parler de la sanitization. Pour me renseigner, j'ai voulu faire une recherche Google mais avec les mots clé : sanitization, validation syntaxique, ça retourne n'importe quoi. Peux-tu me donner des mots clé plus efficaces ?

[cavo789]

Bonjour

Voici un lien trouvé sur Google : https://www.dreamhost.com/blog/2013/...-the-beginner/

La sanitization, c'est de ne pas faire confiance à ce que l'utilisateur introduit; que ce soit du GET ou du POST.

Tu demandes un boolean ? Force un filter_var (http://php.net/manual/fr/function.filter-var.php) de type FILTER_VALIDATE_BOOLEAN et définit la valeur par défaut à ce que tu souhaites.

Tu demandes un mot de passe ? Interdit d'utiliser certains caractères comme p.ex. les caractères non imprimables, les 'OR ' ou 'AND ' qui pourrait dénoter une tentative de SQL injections, ...

La sanitization, c'est de très fortement réduire la voilure et de typer les valeurs.

Encore un exemple, tu demandes un nom de dossier par paramètres ? Refuse la valeur si elle ne contient pas uniquement des lettres, chiffres et quelques caractères comme - ou _ (à toi de faire la liste). Interdit les .. dans un nom de dossier.

Etc.

En l'absence de sanitization et de forçage type/longueur, tu t'exposes à des attaques, principalement SQL Injection.