IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

PHP & Base de données Discussion :

Sécurisé page web [Fait] [MySQL]


Sujet :

PHP & Base de données

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    121
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Décembre 2007
    Messages : 121
    Par défaut Sécurisé page web
    Bonjour à tous.

    En lisant des informations sur la sécurisation sur le web de certaines pages d'un site, j'ai combiner plusieurs méthode afin de sécuriser au mieux des pages.

    Je préfères le dire tout de suite, mon objectif n'est pas de sécurisé des contenus autement confidentiel ou des données militaire mais bien de m'intéressé à la question (pour le plaisir).

    J'ai un formulaire html avec un login, un password, un champ caché et un capcha généré un php. Le mot de passe est haché en javascript avant l'envoie (POST) avec SHA1. Donc les données postée sont le login, le champ caché avec comme valeur le password haché et le captcha entrer par l'utilisateur sans tester si les données postée sont correct.

    Ensuite, je regarde si les 3 infos sont corrects et j'enregistre en variable session (php) un timestamp et l'adresse ip de l'utilisateur.
    De plus, pour chaque login, mot de passe et captcha incorrect, j'enregistre dans une table l'adresse ip et le nombre d'erreur.
    A 10 erreurs, je redirige directement l'utilisateur.

    La page de verification en début de chaque page sécurisée verifie si l'ip existe et est la meme, pareil pour le timestamp et si il y a plus de 5 minutes entre deux pages, je deconnecte aussi.

    Voila en gros.

    Ma question est que puis-je faire de plus pour mieux sécuriser des pages ?
    Evidement, sans passer en https...


    Je pense à la gestion des erreurs du style include("connexion.php") ou select ?
    J'ai entendu parler des .htaccess ?
    Est-il possible de crypter les donnees avec qlq chose de gratuit et fonctionnant avec un hebergeur mutualise ?
    Une grosse erreur de débutant ou quelque chose auquel je n'ai pas pensé ?

    Je rapelle, je ne suis pas un expert, et je fais ca pour progresser et apprendre des trucs.

    Merci à tous.

  2. #2
    Membre Expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 494
    Détails du profil
    Informations personnelles :
    Âge : 55
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 494
    Par défaut
    salut,
    je ne suis pas un expert en securite... mais voici mon point de vue :
    hasher le psw en sha1 est bien, mais c'est bete de le faire en JS avant l'envois...
    en effet, le JS est interprete cote client, donc celui-ci telecharge tout le JS de la page et donc, en affichant le code source de la page, il pourra voire que le psw est passe en sha1. de plus, le psw hashe est mis dans un hidden... il est possible d'analyser les posts envoyes, et donc les hidden aussi. :/
    il existe une fonction php(donc interprete cote serveur) pour hasher en sha1
    => sha1($str)
    pour la deco au bout de 5 min, je trouves ca court surtout s'il y a beacoup de texte a lire sur la page (ou si le mec va pisser).
    "Est-il possible de crypter les donnees avec qlq chose de gratuit et fonctionnant avec un hebergeur mutualise ?" => tu fais ta propre fonction avec ton cerveau =)
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  3. #3
    Membre averti
    Profil pro
    Inscrit en
    Février 2009
    Messages
    20
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Février 2009
    Messages : 20
    Par défaut
    Oui, en gros tu as à peu près toute la grosse artillerie pour pallier au plus proche.
    Ensuite, avant de passer au https, ssl et cie, tu peux restreindre les droits d'accès aux répertoire et éditer un fichier .htaccess;
    voici un bon tuto.
    Mais avant tout, il faut aussi t'assurer du traitement des données pour éviter l'injection SQL: ça peux faire mal aussi. Voir ici

  4. #4
    Membre Expert
    Avatar de Doksuri
    Profil pro
    Développeur Web
    Inscrit en
    Juin 2006
    Messages
    2 494
    Détails du profil
    Informations personnelles :
    Âge : 55
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2006
    Messages : 2 494
    Par défaut
    ah oui, comment ai-je pu oublie de preciser cela.... vierifier que l'utilisateur envois des donnees correctes... (only alpha-numerique pour les pseudo/psw)
    La forme des pyramides prouve que l'Homme a toujours tendance a en faire de moins en moins.

    Venez discuter sur le Chat de Développez !

  5. #5
    Membre confirmé
    Profil pro
    Inscrit en
    Décembre 2007
    Messages
    121
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Décembre 2007
    Messages : 121
    Par défaut
    Merci pour vos réponses.
    Concernant les injections html, slq ou javascript, j'ai oublié de le dire mais c ok.

    Pour les 5 minutes de déconnexion et l'alpha-numerique, je vais changer ca.

    Pour le mot de passe, je vais l'enlever car ca ne sert à rien.

    Pour le cryptage, imaginons le systeme le plus simple, une cle unique pour crypter et decrypter.

    Comment faire pour crypter avant de poster les champs. Je peux utiliser php cote serveur mais cote client ? Le Javascript, on pourra le voir...
    Quelqu'un peut-il m'expliquer le syteme de base ? Apres je ferai ce que je peux.

    Désolé, je fais ce que je peux, lol.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. [JSP][WEB] recuperer le contenu d'une page web
    Par ypikahe dans le forum Servlets/JSP
    Réponses: 6
    Dernier message: 14/03/2008, 10h10
  2. application qui connecte sur une page web
    Par spoolz dans le forum Entrée/Sortie
    Réponses: 6
    Dernier message: 14/04/2004, 09h47
  3. [Réseau]Récupération de page Web
    Par n1c0las dans le forum Entrée/Sortie
    Réponses: 4
    Dernier message: 27/03/2004, 18h15
  4. ouvrir une page Web en mode texte
    Par Halleck dans le forum Windows
    Réponses: 7
    Dernier message: 03/03/2004, 15h08
  5. Réponses: 3
    Dernier message: 28/10/2003, 14h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo