Discussion :

[raptor1]

Bousoir à tous,

Je suis en pleine phase de conception de mon site et je réfléchissait sur la sécutité quand m'est apparu ce problème.

Sur plusieurs sujet dans le forum et dans plusieurs tutoriels, il est conseillé de crypté le mot de passe entré à l'identification par un utilisateur afin d'éviter que les mots de passe circulent en clair sur le réseau.
Il faut donc crypté le mot de passe avec Javascript et le placé dans un champ caché du formulaire d'identification.
Le mot de passe circulera alors crypté sur le réseau. mais si un petit malin le chope, il n'a plus qu'à l'introduire dans le formulaire et à désactiver Javascript pour s'identifier. Du coup ca ne sert pas à grand chose de crypté le mot de passe avec Javascript!

Voilà mon problème (j'espère avoir été assez clair )

1° - Mon raisonnement est-il juste?
2° - Si oui il y a-t-il une solution sans utilisé un certficat (SSH ou SSL)?
3° - Peut-on obligé à activer Javascript?
4° - Il y a-t-il un autre langague qui s'exécute côté client qui permette cela?

Merci de votre aide.

[Eusebius]

1° - Mon raisonnement est-il juste?

Globalement, oui (c'est à dire qu'au premier abord, il me parait juste)

2° - Si oui il y a-t-il une solution sans utilisé un certficat (SSH ou SSL)?

Pour moi la solution est SSL, elle passe donc par un certificat. Pourquoi n'en souhaites-tu pas ?

3° - Peut-on obligé à activer Javascript?

Non. Fais comme si l'utilisateur pouvait contourner Javascript. Continue de penser comme ça...

4° - Il y a-t-il un autre langague qui s'exécute côté client qui permette cela?

Tu pourrais sans doute passer par une applet, mais c'est beaucoup de bruit pour rien, et encore une fois pour être sûr de ton coup il faudrait la certifier. Je persiste : à mon avis tu devrais considérer SSL (TLS) comme une solution intéressante.

[raptor1]

Ok

Donc pour toi la seule solution est un certificat SSL.

En fait je sais absolument pas comment on peut mettre en place un solution de ce type.
J'évite de trop me lancé dans l'inconnu, je me suis déjà planté lourdement pou être parti dans un système que je ne connaissait pas.
Mais bon si ca se trouve ce n'est peut-être pas si difficile que ca a mette en place! Je ne demande qu'à apprendre!

[Yogui]

Salut

Il existe une solution pour éviter le trop-plein de spam d'un formulaire (comprendre : qu'un spammeur copie ton formulaire sur son ordinateur et le lance quand ça lui chante). Il s'agit d'inclure un champ caché contenant une valeur aléatoire conservée en session. Lorsque l'utilisateur envoie le formulaire, la valeur du champ caché doit correspondre à la valeur conservée dans la session sur le serveur. Cela permet déjà de limiter la situation que tu décris, tout en n'étant pas une solution suffisante.

Tu peux ajouter un contrôle sur l'IP, l'agent (le navigateur), etc. en même temps que tu vérifies la correspondance de ces valeurs aléatoires. Si n'importe lequel de ces paramètres a changé, alors tu as toutes les chances pour avoir affaire à un pirate. Cela dit, ces informations sont trop aisément falsifiables...

La seule véritable solution consiste effectivement à utiliser un canal sécurisé (en plus des autres bonnes pratiques).

[raptor1]

Il s'agit d'inclure un champ caché contenant une valeur aléatoire conservée en session.

C'est déjà fait.

Tu peux ajouter un contrôle sur l'IP, l'agent (le navigateur), etc. en même temps que tu vérifies la correspondance de ces valeurs aléatoires. Si n'importe lequel de ces paramètres a changé, alors tu as toutes les chances pour avoir affaire à un pirate. Cela dit, ces informations sont trop aisément falsifiables...

Et ca aussi.

Merci quand même, ca me permet de vérifier que j'ai pas fait tout ca pour rien.

Quant à la solution du certificat, j'aimerai savoir environ combien ca coute, est-ce compliquer à mettre en place et combien de temps ca prend.

Merci

[Yogui]

Il y en a des gratuits.
Flûte, n'avons-nous aucun article sur le sujet ? C'est bien dommage, il faudra y remédier (gros gros appel du pied)...

[raptor1]

Il y en a des gratuits.

Même pour des sites commerciaux ? Je ne suis pas sûr mais je me trompe peut-être.

n'avons-nous aucun article sur le sujet ?

J'ai regardé un peu sur le site, mais j'ai pas trouvé grand chose.
Il y a quelques tutoriels qui en parle mais vite fait.
J'ai pas trouver un tutoriel complet sur ce sujet.
C'est dommage vu que c'est une solution qui est beaucoup utilisée. Faudrais y remedier

[Eusebius]

Il y en a des gratuits.
Flûte, n'avons-nous aucun article sur le sujet ? C'est bien dommage, il faudra y remédier (gros gros appel du pied)...

Oui j'ai cherché, et j'ai trouvé que ça manquait aussi... Mais qui s'occupe de la sécurité dans cette baraque ?