Discussion :

[lelapinrusse]

Bonjour à tous.

En lisant des informations sur la sécurisation sur le web de certaines pages d'un site, j'ai combiner plusieurs méthode afin de sécuriser au mieux des pages.

Je préfères le dire tout de suite, mon objectif n'est pas de sécurisé des contenus autement confidentiel ou des données militaire mais bien de m'intéressé à la question (pour le plaisir).

J'ai un formulaire html avec un login, un password, un champ caché et un capcha généré un php. Le mot de passe est haché en javascript avant l'envoie (POST) avec SHA1. Donc les données postée sont le login, le champ caché avec comme valeur le password haché et le captcha entrer par l'utilisateur sans tester si les données postée sont correct.

Ensuite, je regarde si les 3 infos sont corrects et j'enregistre en variable session (php) un timestamp et l'adresse ip de l'utilisateur.
De plus, pour chaque login, mot de passe et captcha incorrect, j'enregistre dans une table l'adresse ip et le nombre d'erreur.
A 10 erreurs, je redirige directement l'utilisateur.

La page de verification en début de chaque page sécurisée verifie si l'ip existe et est la meme, pareil pour le timestamp et si il y a plus de 5 minutes entre deux pages, je deconnecte aussi.

Voila en gros.

Ma question est que puis-je faire de plus pour mieux sécuriser des pages ?
Evidement, sans passer en https...

Je pense à la gestion des erreurs du style include("connexion.php") ou select ?
J'ai entendu parler des .htaccess ?
Est-il possible de crypter les donnees avec qlq chose de gratuit et fonctionnant avec un hebergeur mutualise ?
Une grosse erreur de débutant ou quelque chose auquel je n'ai pas pensé ?

Je rapelle, je ne suis pas un expert, et je fais ca pour progresser et apprendre des trucs.

Merci à tous.

[Doksuri]

salut,
je ne suis pas un expert en securite... mais voici mon point de vue :
hasher le psw en sha1 est bien, mais c'est bete de le faire en JS avant l'envois...
en effet, le JS est interprete cote client, donc celui-ci telecharge tout le JS de la page et donc, en affichant le code source de la page, il pourra voire que le psw est passe en sha1. de plus, le psw hashe est mis dans un hidden... il est possible d'analyser les posts envoyes, et donc les hidden aussi. :/
il existe une fonction php(donc interprete cote serveur) pour hasher en sha1
=> sha1($str)
pour la deco au bout de 5 min, je trouves ca court surtout s'il y a beacoup de texte a lire sur la page (ou si le mec va pisser).
"Est-il possible de crypter les donnees avec qlq chose de gratuit et fonctionnant avec un hebergeur mutualise ?" => tu fais ta propre fonction avec ton cerveau =)

[juno107]

Oui, en gros tu as à peu près toute la grosse artillerie pour pallier au plus proche.
Ensuite, avant de passer au https, ssl et cie, tu peux restreindre les droits d'accès aux répertoire et éditer un fichier .htaccess;
voici un bon tuto.
Mais avant tout, il faut aussi t'assurer du traitement des données pour éviter l'injection SQL: ça peux faire mal aussi. Voir ici

[Doksuri]

ah oui, comment ai-je pu oublie de preciser cela.... vierifier que l'utilisateur envois des donnees correctes... (only alpha-numerique pour les pseudo/psw)

[lelapinrusse]

Merci pour vos réponses.
Concernant les injections html, slq ou javascript, j'ai oublié de le dire mais c ok.

Pour les 5 minutes de déconnexion et l'alpha-numerique, je vais changer ca.

Pour le mot de passe, je vais l'enlever car ca ne sert à rien.

Pour le cryptage, imaginons le systeme le plus simple, une cle unique pour crypter et decrypter.

Comment faire pour crypter avant de poster les champs. Je peux utiliser php cote serveur mais cote client ? Le Javascript, on pourra le voir...
Quelqu'un peut-il m'expliquer le syteme de base ? Apres je ferai ce que je peux.

Désolé, je fais ce que je peux, lol.