Discussion :

[jc_cornic]

Bonjour, je suis nouveau en conception de sites sécurisés et je voudrais avoir un avis d'expert...

Ma page d'accueil est un formulaire demandant login et password. Les login/password valides sont stockés dans une base de donnée et j'ai une fonction php qui vérifie si l'utilisateur a rentré un log/passwd valide.

En gros, je me demande si il est possible de cracker mon site facilement ou non ou si c'est carrément impossible... Merci de vos réponses.


Encore merci

ps: Quand je dis cracker le site, c'est se faire passer pour quelqu'un d'autre sans posséder le log/pass évidemment

[zooro]

Bonjour,

Tu utilises POST pour envoyer les infos, mais les infos sont envoyées en clair.
Il me semble qu'à part intercepter le login/password pendant le transfert, la sécurité est plutôt bonne. Bon, pour l'améliorer, tu pourrais éventuellement utiliser HTTPS.

Celà dit, concernant le code source de la page, j'ai vu que tu as de l'HTML avant la balise <html> marquant le début de la page...

[vg33]

Peux-tu poster le code du script d'authentification ?

[Henry9]

Bonjour,

je ne sais pas si cela peut aussi vous intéresser mais avec un aspirateur de site, on peut quand même voir la page protéger.

Donc en utilisant le https, ça pourrait résoudre le problème comme dit plus haut.

[jc_cornic]

L'authentification se fait sur deux fichiers.

1)
echo "
<html>
<head>
<title>Formulaire d'identification</title>
</head>
";

setDebutZonePos("absolute", 100, 250);

echo "
<form action=\"XXXXX.php?saisie=$saisie\" method=\"post\">
login : <input type=\"text\" name=\"login\">
<br />
mot de passe : <input type=\"password\" name=\"pwd\"><br />
<br><input type=\"submit\" value=\"Connexion\">
</form>
";

setFinZonePos();

echo "
</body>
</html>
";


2)
if (isset($_POST['login']) && isset($_POST['pwd'])) {

// on vérifie les informations du formulaire, à savoir si le pseudo saisi est bien un pseudo autorisé, de même pour le mot de passe
$dir = goodLogBDD($_POST['login'], $_POST['pwd']);

if ($dir != "") //$login_valide == $_POST['login'] && $pwd_valide == $_POST['pwd'])
{
// on redirige notre visiteur vers une page de notre section membre

$_SESSION['login'] = $_POST['login'];

if ($saisieLog == 1)
{
echo "
<script language=\"JavaScript\">
document.location = \"variables.php?page=".$_SESSION['page']."&feuille=1\"
</script>
";
}
else
{
echo "
<script language=\"JavaScript\">
document.location = \"variables.php?page=1\"
</script>
";
}
//header ('location: variables.php?page=1');
}
else {
// Le visiteur n'a pas été reconnu comme étant membre de notre site. On utilise alors un petit javascript lui signalant ce fait
echo '<body onLoad="alert(\'Membre non reconnu ...\')">';
// puis on le redirige vers la page d'accueil
echo '<meta http-equiv="refresh" content="0;URL=index.php">';
}

}
else {
echo 'Les variables du formulaire ne sont pas déclarées.';
}


Voilà, une autre question , c'est facile pour un hacker d'attendre que qqun se log pour intercepter les POST ???

[Julien.alkaza]

Pour cela il faut qu'il soit entre les deux machines...Sinon il ne peut pas intercepter les données...
Ou alors il a placé un bout de soft qui redirige les flux...

[JackBeauregard]

Bonjour,

je ne sais pas si cela peut aussi vous intéresser mais avec un aspirateur de site, on peut quand même voir la page protéger.

Donc en utilisant le https, ça pourrait résoudre le problème comme dit plus haut.

Pour éviter cela, il faut faire un test vérifiant l'existence d'une variable de session initialisée après identification réussie, si je ne m'abuse. En cas d'absence de cette variable de session, on fait un header qui redirige vers le formulaire.
Sinon c'est complètement artificiel comme formulaire d'identification.

[vg33]

C'est la fonction goodLogBDD() qu'il faut que tu postes pour qu'on te dise si ton script est sécurisé.