Discussion :

[Ced_92]

Bonjour,
je cherche à sécuriser une connexion client/serveur.
Voici mon problème:
j'ai un client qui doit se connecter à un serveur 1, qui le redirige après authentification vers un serveur 2.

Je cherche un moyen de sécuriser la connexion du client vers le serveur 2 afin d'éviter que par un simple copier/coller, un intrus puisse accéder au serveur 2 sans passer par le serveur 1.

Merci d'avance

[GregWar]

Tu peux être un peu plus précis ?

Si je comprends bien sur le serveur N°1 tu puise t'identifier grâce à une page PHP puis rediriger le type vers un second serveur, seulement sur le second serveur tu n'a aucune preuve a priori que le membre est bien passé par le premier...

Est-ce que le second a acces à la base de donnée, ou quoi que ce soit qui lui permette à lui même de tester l'identité du membre ?

Est-ce qu'il s'agit d'une simple identification ou d'une identification multi-compte ?

[Ced_92]

Salut GregWar,
La problématique de mon problème est celle que tu as exposé:
" sur le second serveur tu n'a aucune preuve a priori que le membre est bien passé par le premier... "

Il me faut trouver un moyen pour faire en sorte que le client ne puisse pas accéder directement au serveur n°2.

Pour le moment, j'ai une communication à double authentification entre le client et le serveur 2; càd que le client saisit son nom et mot de passe pour se connecter au serveur 1 et puis il doit le ressaisir une nouvelle fois pour se connecter au serveur 2; et là justement je veux enlever cette 2ème authentification pour que le 2nd serveur sache que l'utilisateur est celui qui s'est logué précédemment.

Un système de base de données pourrait être un bon choix pour que le serveur 1 et le serveur 2 puissent interagir en fonction du client.

[GregWar]

Que pense tu de ça:

Tu écris une fonction telle que:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
function magic_hash($str) {
return sha1("aiQoaPdmalFiquENaGpaoQL".$str);
}

(La longue chaîne est arbitraire et doit rester secrète). Tu implante cette simple fonction sur tes deux serveurs, et lors du passage du serveur 1 au serveur 2 tu passe une chaîne dans l'URL du type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

?user=(pseudo de l'user)&hash=(magic_hash(user))

Ainsi le mot de passe ne transit pas en clair mais si le serveur 2 veut le checker il n'aura qu'à vérifier que le hash donné en get est bien équivalent à magic_hash(user).

Notons que la connaissance magic_hash(user) serait déja une preuve puissante que le client est passé par le serveur 1, car le serveur 1 refusera de calculer cette valeur si il n'est pas identifié, et que si un client voulait calculer le hash il serait obligé de connaître la chaîne secrète de la fonction citée ci dessus.


En attendant si quelqu'un intercepte l'URL de login au second serveur (le hash pour un user) il pourra quand même s'identifier sur le compte d'une autre personne avec juste ce système (si tu veux absolument une parade à ça on peut en mettre une en place facilement :p). Mais il sera impossible pour quelqu'un de s'identifier sur le compte d'une personne arbitraire (de falsifier l'utilisateur)


Enfin bref je pense que tu as pigé le principe, n'hésite pas à répondre si tu trouve ça peu satisfaisant