Discussion :

[danuz]

Bonjour à tous,


Voilà, j'ai déjà à maintes reprises posé la question aux experts, mais j'aimerai bien avoir otre avis sur la chose également.

[ XMLRAD 7 ]


J'ai mon application qui fonctionne correctement. Application permettant à des utilisateurs de pouvoir accès à des informations d'ordre très confidentiel.

Mon premier problème vient du fait que j'aie un paramètre dans mon url, et si je change un chiffre dans ce paramètre, j'arrive à avoir les informations personnelles d'un autre utilisateur.

Voici un printscreen de mon application :

http://www.ifrance.com/danuz/print.gif


Je voudrai éviter donc que se trimbale mon paramètre dans mon url. (Mon Boss n'aime vraimetn pas du tout et je le comprend... )

J'ai eu la réponse des experts qui me préconisaient d'utiliser le javascript en autre.

Dès ma form de login, je stocke mes variables ainsi que mon paramètre dans un cookie. Chaque fois que mes pages seront appelées, je vérifie (instruction BeforeXMLGram ) si le paramètre que j'ai dans l'url correspond à mon paramètre dans mon cookie...

ça fait un peu beaucoup, et puis, .... le javascript, exécuté côté client.... J'aurai préféré tout gérer sur mon serveur..

Que me conseillez vous car je suis perdu. Je suis à deux semaines de faire mon boulot, et je voudrai bien finir ce projet.

Je vais stocker mes informations (pass et paramètre) dans une table spéciale, et j'aurai besoin de lumière claire s'il vous plait.


Comment utiliser les sessions? Comment utiliser les cookies? Quelle est la meilleure solution en sachant que les informations sont très privées et professionnelles.




Que faire pour mettre en place une authentification sécurisé TOUT EN SACHANT que JE NE VEUX PAS utiliser le security.xml d'XMLRAD car, j'ai déjà ma base de donnée, et je ne veux pas passer par cette solution.

Merci par avance

[rgarnier]

Je ne comprend pas bien ton pb ....

A priori, ton organisation est assez 'classique' ; tu as une table users, un formulaire de login qui te permet de savoir qui accède à l'appli.

A partir de là, tu peux donc stocker ton identifiant dans un cookie sur la machine cliente, puis l'utiliser dans tes requêtes de sélection ou autre afin de filtrer les données affichées.

Afin d'être encore plus confidentiel, tu peux même crypter ton cookie afin de ne pas le laisser tel quel sur la machine cliente.

Concernant les sessions, nous ne sommes pas en PHP ou autre, toutes les variables persistantes sont stockées en tant que cookie sur la machine cliente, ce qui permet d'ailleurs de passer d'un serveur à l'autre sans pb.

[danuz]

Mon pb c'est la mise en place de cookies.

Et puis, surtout empecher que le changement d'un chiffre de mon url permette l'acces a un autre profil...

[rgarnier]

Donc, tu stockes bien ton user dans un cookie.

Pourquoi fais-tu une comparaison entre un code de l'url et ton cookie ????

Car la requête HTTP qui arrive à ton appli contient la valeur des cookies de la machine cliente .

[danuz]

Oui, c'est vrai. Mais si au lieu du 2 dans mon url je met un 3, j'ai le profil d'un autre utilisateur. le cookie ne fait pas son travail?

Je stocke dans mon cookie le paramètre qui est dans l'url. J'en ai besoin sur chacun de mes xmlservices.

[rgarnier]

Je ne vois toujours pas pourquoi tu mets un code dans ton URL, tu n'as qu'à regarder la valeur du cookie envoyé et tu l'utilises pour tes traitements.

Tu peux éventuellement crypter la valeur du cookie afin que l'utilisateur ne puisse pas envoyer une valur en manuel.

[danuz]

Comment faire pour crypter les cookies? les décryper et les analyser...


POur mon url, je faisai en javascript:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
if (Context.GetValue("NUMSUBV")==Context.GetValue("Pass") ) 
 Context.SetValue("NextAction", "FormError");

Je comparai ce que j'avais dans l'url a ce que j'avais dans mon cookies..

c'est fiable ça?

[danuz]

J'ai aussi une autre solution qui m'arrangerait bien, ce serait le security.xml. Mais, sa mise a jour a partir de ma base de donnée me pose problème..

des suggestions de ce côté la?

[rgarnier]

Oui, tu compares 2 valeurs de contexte qui te sont envoyées par une seule personne, tu n'as pas trop de risque que cela ne marche pas.

A ta place, je réceptionnerai la valeur du cookie 'Pass', et c'est en fonction de celle là que je ferais mes requetes, du genre :

SELECT * FROM INFOS
WHERE USER = ass

Cela permet de ne te baser que sur une seule information pour test sélections.

Comme je t'ai dit sur le message d'avant, tu peux crypter la valeur du cookie, ce qui interdit (en gros) à l'utilisateur de taper dans l'URL une autre valeur qui correspondrait à un user

Pour le cryptage, tu peux essayer tout simplement de coder une fonction de conversion basée sur des stringreplace (remplace le A par 01Z, le B par 55G, .....) Tu n'auras qu'à crypter sur le login et décrypter à chaque requête.

[danuz]

Merci. J'y réfléchi mais tu me rassures. Car mon patron, lui n'était pas tro rassuré.

Et pour le javascript, il est exécuté côté serveur.

[delicatessen2]

bonjour,

non le javascript s'exécute coté client mais le jscript (utiliser dans des évènement comme beforexmlgram, biforeinstruction...) est exécuté coté serveur

[danuz]

oui, merci. jscript

[danuz]

Pour les cookies, ils sont opérationnels.

Par contre, j'ai un peu de mal à les crypter.. Si quelqu'un pouvait m'aider.


Autrement, j'aimerai pouvoir utiliser le OnClick sur un lien texte pour permettre que certains de mes paramètres ne s'affichent pas dans mon url.

c'est possible?