Discussion :

[flamant]

Bonjour,

je voudrais développer un site auquel on aura droit d'accès en lecture seulement à partir d'une url que l'on copiera dans des liens tiers. L'url contiendra un mot clé à partir duquel on affichera la page d'accueil correspondante (les données en lecture dépenderont de ce mot clé). J'ai pensé en premier lieu à stocker l'url de la page origine du lien qui donne accès à la page d'accueil et la vérifier pour autoriser l'accès à la page d'accueil. J' ai pensé aussi à une vérification comme quoi ce n'est pas un robot ou/et un captcha de vérification. A votre avis est-ce nécessaire ?

Y a t-il d'autres solutions ?

Connaissez vous les technique de sécurisation de telles url et si oui pouvez vous m'expliquer ce qu'il est possible de faire ? Si vous avez en tête des articles ou livre à lire, pouvez vous me donner les références . Et comment appelle t-on ce type de sécurisation ?

Merci d'avance pour vos réponses

Cordialement

Xavier Flamant

[ABCIWEB]

Salut,

Les pages qui sont sécurisées avec un identifiant contenu dans l'url sont normalement valides pour un temps déterminé, sinon il est impossible de garantir leur sécurité à terme. Sur le principe, on génère un identifiant unique que l'on enregistre dans une bdd, et l'on vérifie à réception de l'url que cet identifiant correspond à un identifiant enregistré. Ces identifiants ne doivent pas être valides sur une longue période car l'url est très facilement piratable puisqu'il suffit de consulter l'historique des connexions.

Si tu veux protéger une url unique et valide sur une longue période il faut passer par un formulaire d'authentification.

[flamant]

Bonjour ABCIWEB et merci pour ta réponse.
Je veux embarquer mon site depuis des sites source différents et accéder à différents contenus suivant l'origine du site source.
Je ne suis pas sur d'avoir bien compris ce que tu m'a dit. Voilà ce que j'ai compris : je peux pour 2 liens différents qui mène à 2 contenus différent proposer ces 2 liens

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<a  href="https://monsite/identifiant1" ></a>  -> conduit au formulaire d'authentification -> qui conduira au CONTENU1
ET
<a  href="https://monsite/identifiant2" /></a>  -> conduit au formulaire d'authentification -> qui conduira au CONTENU2

dans ce cas, je ne vois pas l'utilité du formulaire d'authentification, je peux accéder directement au contenu suivant l'identifiant.
Et je ne vois pas pourquoi l'url serait valide seulement pour un temps déterminé et non pour toujours.

Merci d'avance pour ta réponse.

[ABCIWEB]

Est-ce tu comprends qu'une url avec ou sans identifiant peut-être très facilement piratée ?

Donc soit il faut que l'identifiant contenu dans cette url ne soit valide que pour un temps bref, soit si l'on veut faire autrement avec une url fixe et un bon niveau de sécurité il faut passer par un formulaire d'authentification, et dans ce cas l'url n'a pas besoin de contenir un identifiant.

[Invité]

Bonjour,

Avant d'aller plus loin, il faudrait préciser et définir clairement ce que tu entends par "URL sécurisée" !

...un site auquel on aura droit d'accès en lecture seulement à partir d'une url que l'on copiera dans des liens tiers....

1- OK. En quoi ça a besoin ici d'être sécurisé ?

N'importe quelle page d'un site est accessible "en lecture seule" !
(à moins d'avoir des formulaires de modification, ce qui, généralement, est réservé aux Panel Admin ou Espace Membre, protégés par identifiant et mot de passe !)

...L'url contiendra un mot clé à partir duquel on affichera la page d'accueil correspondante (les données en lecture dépendront de ce mot clé)....

2- OK. Donc on affiche un contenu différent à partir d'un "code spécifique", unique.
Encore une fois, en quoi ça a besoin d'être "sécurisé" ?


Je ne vois pas de notion de "sécurisation", ici, mais simplement "d'identification de contenu à partir d'un paramètre de l'URL".

Pour éviter de lire trop facilement l'URL (et donc de pouvoir la modifier trop facilement), plutôt d'un identifiant "simple", on utilisera un code (ou token) alphanumérique, qui, comme ABCIWEB l'a expliqué, sera relié à une ligne en base de données contenant les infos nécessaires à l'ouverture de la "bonne" page.

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
<a  href="https://monsite/readonly.php?token=q7d86vq67q1sd6f41ccq3f1q1vcsq1">Contenu 1</a>
 
<a  href="https://monsite/readonly.php?token=s6b4s1dgf6sdgfc6qdgf74sdfsc1dg2">Contenu 2</a>

C'est "sécurisé" uniquement dans le sens où on ne peut pas deviner l'URL du contenu 2 à partir de l'URL du contenu 1.
C'est tout.

Par contre, elle n'est pas "sécurisée" dans le sens où n'importe qui peut l'ouvrir si il connait l'URL (où en cliquant dans l'historique, comme remarqué par ABCIWEB).

Si ce n'est pas ça que tu demandes, alors je répète :
Avant d'aller plus loin, il faudrait préciser et définir clairement ce que tu entends par "URL sécurisée" !

[flamant]

Merci ABCIWEB et jreaux62 pour vos réponses,
je me suis mal exprimé lorsque je parle d'url sécurisé.
Ma problématique serait d'accéder au bon contenu en 2 étapes
1) ETAPE1 : cliquer sur le lien
2) ETAPE2 : après avoir cliqué on arrive sur un formulaire d'authentification
3) ETAPE3 : sur le formulaire d'authentification on rentre un login et mot de passe OU on crée un compte pour s'authentifier
4) ETAPE4 : après cette précédente étape, on accède au contenu voulu

d'après ce que me dit jreaux62 c'est plus clair.

Donc la meilleur solution serait

<a href="https://monsite/readonly.php?token=q7d86vq67q1sd6f41ccq3f1q1vcsq1">Contenu 1</a>
*
<a href="https://monsite/readonly.php?token=s6b4s1dgf6sdgfc6qdgf74sdfsc1dg2">Contenu 2</a>

Ces url mèneraient à un formulaire d'authentification (avec un champ caché qui contiendrait le token ) qui eux même mèneront aux contenus respectifs
par contre effectivement comme tu dis

Par contre, elle n'est pas "sécurisée" dans le sens où n'importe qui peut l'ouvrir si il connait l'URL

Y a t-il un autre moyen pour que l'accès soit totalement sécurisé (dans le sens où on ne peut arriver sur le contenu voulu qu'à partir du lien source sur une page unique (ETAPE1) tout en accédant au bon contenu, sans qu'il y ait d'autres moyens d'y accéder (en copiant collant l'url dans la barre d'adresse par exemple)) ?

Merci d'avance pour vos réponses

[Invité]

Ces url mèneraient à un formulaire d'authentification (avec un champ caché qui contiendrait le token ) qui eux même mèneront aux contenus respectifs

Tu as bien analysé le problème.

Et c'est parfaitement sécurisé, puisque tu demandes un identifiant et un mot de passe.
(c'est le principe même d'un formulaire d'authentification !)

Y a t-il un autre moyen pour que l'accès soit totalement sécurisé (dans le sens où on ne peut arriver sur le contenu voulu qu'à partir du lien source sur une page unique (ETAPE1) tout en accédant au bon contenu, sans qu'il y ait d'autres moyens d'y accéder (en copiant collant l'url dans la barre d'adresse par exemple)) ?

Par contre, ça, ça n'a aucun sens.

• soit tu fournis l'URL - donc elle est CONNUE - et elle est copiable dans la barre d'adresse (ou via l'historique)
• soit tu... ne fournis rien !

Si au moins tu nous expliquais CONCRETEMENT l'objectif : tu veut sécuriser quel type de page ?
Ca va servir à quoi ?

[flamant]

Bonjour jreaux62 et merci pour ta réponse. Je considère la discussion résolue
Je veux sécuriser un agenda de prise de rendez-vous. Cette application pourra être embarquée sur toute autre type d'application (je pense en particulier à des sites statique)

Merci pour ton aide ainsi que l'aide de ABCIWEB