Discussion :

[bigsister]

salut,
ce thread est pour PHP mais est lié à la sécurité Web en général.
que pensez-vous du filtrage IP (autoriser seulement telle ou telle adresse IP) pour protéger une page Web en particulier ?
En PHP :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
if ($_SERVER['REMOTE_ADDR'] == 'MON.ADRESSE.IP.AUTORISEE') {
//OK
} else {
//PAS OK
}

Est-ce qu'il y a un moyen de contourner ce système ? Si oui comment ?

[jeff_!]

salut
il suffit de choper la bonne ip et c'est bon

[bigsister]

ok mais justement comment "choper" la bonne IP ? C'est facile de se connecter à un site Web avec l'IP qu'on veut (et notamment une IP déjà utilisée par un serveur) ?

[Mr N.]

C'est bien mais pas suffisant.
phpgraphy (que je ne conseille pas au passage, pas assez mur) utilise ce système pour la partie installation :
1. tu appelle la page d'install
2. Il te dit modifier tel fichier en mettant ton adresse ip qui est xxx.xxx.xxx.xxx
3. Tu modifie via ftp le dit fichier
4. Tu rafraichit la page et là le système considère que c'est bien toi le propriétaire du site.

Personnelement je rajouterais un systeme de mot de passe pour être sur.

[trattos]

Avec une IP dynamique tu fais comment???

[juki]

Bonjour,

Avec une IP dynamique tu fais comment???

Tu prend un sous domaine chez dyndns/no-ip ou aure, et tu fait un gethostbyname(), si tu as plage de plusieurs ip de type: 111.111.111.XX et que tu n'a qu'un seul sous domaine/compte, alors tu fait jouer les wildcard => gethosbyname() => 111.111.111.*

Le meilleuir moyen c'est d'avoir un gestionnaire d'ip dynamique (dyndns..)

http://www.dyndns.org/
http://www.no-ip.org/

[Mr N.]

Avec une IP dynamique tu fais comment???

Tu changes à chaque fois l'ip enregistrée sur le serveur

[bigsister]

bon, apparement il existerait diverses techniques permettant de s'interconnecter dans un réseau et ainsi faire passer des trames comme provenant de telle ou telle adresse IP...
http://www.frameip.com/smartspoofing/

Dans le doute il vaut donc mieux, en plus d'un filtrage IP, continuer d'utiliser un système de login/pawssword...

[Yogui]

Salut

C'est le maître mot de la sécurité : en faire le plus possible. Tout est question du temps que l'on accepte d'y passer à la fois en développement, en temps d'exécution et éventuellement en questions-réponses (ex : mot de passe à saisir, image antibot, etc.).