IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Langage PHP Discussion :

[Sécurité] securité sur un site [Fait]


Sujet :

Langage PHP

  1. #1
    Membre confirmé Avatar de vovor
    Inscrit en
    Avril 2005
    Messages
    119
    Détails du profil
    Informations forums :
    Inscription : Avril 2005
    Messages : 119
    Par défaut [Sécurité] securité sur un site
    J'aimerais sécuriser un site de jeux php face aux multis. Certains débordent d'imagination et débordent tout court : ce qu'ils osent est parfois démesuré par rapport au fait qu'il ne s'agisse que d'un simple jeu : multicomptes avec plusieurs proxy, brute-force pour casser les mot de passe de leurs concurrents et bouziller leur compte, tentatives de piratage du ftp et de la bdd du serveur...
    c'est assez impressionnant.

    De même je ne suis pas un utilisateur de steganos, Tor et autres, c'est pas trop mon trip. Mais si tout le monde répond aux petits malins qui veulent utiliser ces masqueurs d'ip, que c'est facilement remontable, personne ne parle nulle part de la methode pour ce faire. A ce que j'ai vu lors de mes recherches, tout le monde parle de piratage, mais peu d'anti-piratage.

    Votre avis pour sécuriser un minimum un site et surtout obtenir la vraie adresse ip de l'utilisateur.

  2. #2
    Membre expérimenté
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Janvier 2006
    Messages : 150
    Par défaut
    Bonjour,

    Tu n'as pas du bien chercher

    http://www.frameip.com/smartspoofing/

  3. #3
    Membre confirmé Avatar de vovor
    Inscrit en
    Avril 2005
    Messages
    119
    Détails du profil
    Informations forums :
    Inscription : Avril 2005
    Messages : 119
    Par défaut
    oui j'avais vu pour le spooling.

    Mais en général la protection recommandée, c'est coté serveur. Moi je gere pas cette partie vu que je suis chez un prestataire qui heberge mon serveur. C'est au niveau de la reconnaissances des ip coté client (code php) que j'aimerais avoir une bonne précision.

  4. #4
    Membre expérimenté
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Janvier 2006
    Messages : 150
    Par défaut
    Bonjour,

    Si je ne me trompe pas tu n'auras pas un accès suffisant sur la machine pour gérer la trame IP et donc savoir si l'ip est masquée ou non.

    Tout ce que tu peux faire c'est côté serveur, côté client tu ne peux rien faire
    (php c'est côté serveur ...)

  5. #5
    Membre confirmé Avatar de vovor
    Inscrit en
    Avril 2005
    Messages
    119
    Détails du profil
    Informations forums :
    Inscription : Avril 2005
    Messages : 119
    Par défaut
    tu m'as eu!
    ce que j'entendais par là, c'est que c'est le client qui genere le lancement du script au lancement de la page.

    LA plupart de ce qui est proposé, c'est firewall, table ip et autres joyeusetés... mais je vois rien qui puisse aider coté php. (ou meme js (au pire ))

  6. #6
    Membre expérimenté
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Janvier 2006
    Messages : 150
    Par défaut
    Bah ... Il y'a déja pas mal de dossiers sur la sécurité des applications php sur le net.

    C'est un domaine vaste, il y'a la protection des données envoyées, la protection des données enregistrées, la protection des mots de passe (cryptés, en cas de vol de la bdd les mots de passes ne sont pas utilisables), la protection des requêtes lourdes pour éviter qu'un utilisateur puisse la relancer 10 fois / seconde, etc ....

    Vraiment, c'est vaste

  7. #7
    Membre expérimenté
    Profil pro
    Inscrit en
    Août 2002
    Messages
    194
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2002
    Messages : 194
    Par défaut
    c'est plutot intéressant
    ça doit être passionnant (pour d'un oeil externe pour toi ça doit pas drole) à étudier (je me suis toujours demandé comment les gens faisaient pour bidouiller ftp et bdd)

    - IP
    l'ip se change sans problème. même sans bidouille. tu te déconnectes et te reconnectes et pouf une nouvelle ip de ton fai. (sans même passer par un proxy) dans ce cas est ce que le code donne toujours la même ip ou pas?
    parce que si se déconnecter suffit pour le contourner, c'est utile mais pas suffisant

    sinon tu utilises déjà les cookies? en vérifiant le cookie tu pourrais déjà repéré le gars qui change d'ip mais qui n'efface pas les cookies

    mais les coookies ça s'efface, donc tu as déjà vu pour créer des cookies qui s'effacent mal? (je ne sais pas si c'est légal ou pas mais parfois en créant mal un cookie il ne s'efface pas même quand on vide le cache...)

    et même ceux là on fini toujours par les effacer mais c'est plus long...
    et en plus si le gars utilise deux navigateurs (ou deux pc...) ça fait deux cookies

    de plus autre remarque sur les ip : faut penser à ceux qui au boulot, université,... jouent (c'est mal mais bon...) et qui jouent sur des pc différents mais qui utilisent le même proxy en sortie... faudrait pas non plus les bloquer

    sinon avec les ip non bidouillées tu peux tester la geolocalisation de l'ip, si tu as des doutes ça peut d'aider à vérifier (si 2 ip douteuses sont dans la même ville ou à 1000km l'une de l'autre ça change tout....)


    - pour le brute force, tu comptes les echecs et tu peux bloquer temporairement la connexion après X echec (mais ça peut etre utilisé pour empecher un gars de jouer... faut vraiment réfléchir dessus...) ou alors un peu avertissement par mail et un lien dessus pour réactiver?
    (sans compter que le problème peut se déplacer, on peut attaquer le mail si on le connait)


    - sinon tu as accès aux logs d'erreurs, d'accès liés à ton site? (pour répérer ceux qui bidouillent en cherchant des pages)

    et... je dois aller manger

  8. #8
    Membre confirmé Avatar de vovor
    Inscrit en
    Avril 2005
    Messages
    119
    Détails du profil
    Informations forums :
    Inscription : Avril 2005
    Messages : 119
    Par défaut
    Citation Envoyé par Vell Voir le message
    Bah ... Il y'a déja pas mal de dossiers sur la sécurité des applications php sur le net.

    C'est un domaine vaste, il y'a la protection des données envoyées, la protection des données enregistrées, la protection des mots de passe (cryptés, en cas de vol de la bdd les mots de passes ne sont pas utilisables), la protection des requêtes lourdes pour éviter qu'un utilisateur puisse la relancer 10 fois / seconde, etc ....

    Vraiment, c'est vaste
    je veux bien quelques liens parce que j'ai pas trouvé.

  9. #9
    Membre expérimenté
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Janvier 2006
    Messages : 150
    Par défaut
    J'suis sûr tu l'fais exprès

    http://phpsec.org/projects/guide/fr/

    Premier résultat "php+sécurité"

  10. #10
    Membre confirmé Avatar de vovor
    Inscrit en
    Avril 2005
    Messages
    119
    Détails du profil
    Informations forums :
    Inscription : Avril 2005
    Messages : 119
    Par défaut
    A vrai dire : oui et non.

    oui je m'attendais à ce genre de recherche et non je ne cherchais pas aussi large. Mes requêtes sur google etaient beaucoup plus ciblées sur le "demarchage" de l'adresse ip du client.
    Tu as sans doute raison et je vais voir au niveau des sécurités d'authentification. on verra ou cela nous menera.

  11. #11
    Membre expérimenté
    Profil pro
    Inscrit en
    Janvier 2006
    Messages
    150
    Détails du profil
    Informations personnelles :
    Âge : 42
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations forums :
    Inscription : Janvier 2006
    Messages : 150
    Par défaut
    Pour faire simple, tu ne peux pas faire rentrer le rond dans le carré (tu sais les jeux d'éveil ) !

    Avec php tu ne pourras pas faire grand chose si ce n'est sécuriser tes applications, et limiter les dégats lorsqu'il y'a une tentative de DDOS.

    Tiré du site en question :
    Note

    Il n'est pas raisonnable de se fier à quoi que ce soit au niveau TCP/IP, par exemple l'adresse IP, car ce sont des protocoles de niveau plus bas, non destinés à satisfaire des activités se déroulant au niveau de HTTP. Un seul utilisateur est susceptible d'avoir une IP différente à chaque requête, et plusieurs utilisateurs pourraient avoir la même adresse IP.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Réponses: 3
    Dernier message: 11/08/2006, 15h22
  2. [Sécurité] paiement sécurisé sur son site
    Par r-zo dans le forum Langage
    Réponses: 5
    Dernier message: 10/07/2006, 12h16
  3. Réponses: 8
    Dernier message: 30/03/2006, 16h59
  4. Réponses: 6
    Dernier message: 31/01/2006, 13h03
  5. Réponses: 2
    Dernier message: 05/09/2005, 16h32

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo