Connexion sécurisée avec SSL

Version imprimable

Bonjour,
Afin de sécurisé mon site, je souhaite utilise SSL.
Je tourne depuis 3 jours sans bien comprendre ce qu'il faut vraiment faire.
J'ai fait ceci :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 /* Création d'un objet de connexion, sans être connecté */ $link = mysqli_init(); /* Définition des quelques options de connexion */ //mysqli_options($link, MYSQLI_INIT_COMMAND, "SET AUTOCOMMIT=0"); //mysqli_options($link, MYSQLI_OPT_CONNECT_TIMEOUT, 5); mysqli_ssl_set ( $link, $key, $cert, $ca, $capath, $cipher); /* Connexion au serveur */ $db=mysqli_real_connect($link, $sql_serveur, 'root', '', $db_mytable); if (mysqli_connect_errno())/* Vérification de la connexion */ { printf("Echec de la connexion : %s\n", mysqli_connect_error()); exit(); } else { printf ("Connecté : %s\n.", mysqli_get_host_info($link)); } mysqli_close($link);
Est-ce que j'utilise vraiment SSL comme ça ?
Et surtout, comment créer des clés, un certificat ?????
Ca me parait louche ce que je fais !!!!
Je cherche un tuto bien fait, en connaissez-vous un ?
Quelle est la config souhaitée (j'ai décommenté dans le php.ini l'extension php_openssl.dll), est-ce ok ????

Merci d'avance pour vos éclaircissements ... je crois que je me suis mélangé les pinceaux.

20/02/2009, 16h07
onet

Euh...
Mise à part si tu veux te connecter sur un serveur msql distant en SSL, non.

Tu veux mettre en place le SSL? Tu as un serveur dédié, ou tu es en mutualisé? Le SSL travail sur le port 443 de ton serveur. La majorité des modifications que tu devra faire seront a effectuer coté serveur, et pas coté code (si ton code est bien fait, tu n'a meme rien a modifier!).

Tu devrais plutot poser la question sur le forum d'apache, que PHP. Pour la création d'un certificat, soit tu utilise un certificat gratuit, mais tu va avoir une erreur lors de la première connexion de chacun de tes visiteurs. Et beaucoups ont peur et ferment la fenetre.

Sinon, tu achète un certificat que tu va placer sur ton serveur. Les prix vont de 50 euros à +1000 euros par année, en fonction de ce que tu as besoin.

Mise à part ca, quels sont tes réels besoin de SSL sur ton site? Avant de penser au SSL, as-tu déja pris soin de protéger tes scripts coté code, c'est à dire des injections SQL, XSS, du vol de session, etc...?

Onet
20/02/2009, 21h11
Emilie012

Merci pour ta réponse onet, effectivement, je me suis concentré sur SSL car, en lisant un site, il disait que la première chose était une protection SSL, donc j'ai cherché à comprendre ... maintenant que j'ai compris que cela ouvrait une fenetre au démarage du site, ce qui ne me plait pas du tout, je vais passer àç autre chose.

Je comptais commencer à regarder si mes scripts étaient bien protégés, mais je suis novice, je ne sais pas bien comment m'y prendre, je sais qu'il faut vérifier le type de variable par exemple ...
XSS, je ne vois pas ce que c'est ?
le vol de session, jamais entendu parlé ??????? comment on fait ça ?
21/02/2009, 10h12
onet

Citation:

Envoyé par Emilie012

Merci pour ta réponse onet, effectivement, je me suis concentré sur SSL car, en lisant un site, il disait que la première chose était une protection SSL, donc j'ai cherché à comprendre ... maintenant que j'ai compris que cela ouvrait une fenetre au démarage du site, ce qui ne me plait pas du tout, je vais passer àç autre chose.

Je comptais commencer à regarder si mes scripts étaient bien protégés, mais je suis novice, je ne sais pas bien comment m'y prendre, je sais qu'il faut vérifier le type de variable par exemple ...
XSS, je ne vois pas ce que c'est ?
le vol de session, jamais entendu parlé ??????? comment on fait ça ?

C'est bien ce que je craignais ;). Mais ne t'inquiète pas, c'est normal. Les gens se disent que SSL c'est LA solution... Mais non, il y a bien d'autre choses à faire avant. Le SSL n'est souvent que de la poudre aux yeux pour les utilisateurs finaux, car ils se sentent rassurer... Alors qu'un site mal concut, meme avec le ssl est dangereux.

En temps normal, je te dirais un bon GETA, mais je suis de bon ce matin ;)

XSS, cross-site scripting, c'est l'injection de scripts dans tes pages, afin de récupérer les identifiant, session ou rediriger ton visiteur. C'est très risqué. Cela est visible par l'injection de code javascript dans un champ, et soit enregistré en base, et donc chaque affichage de ta page affichera le code malicieux, soit envoyer via une page de phising dans un mail, ou autre (d'ou le fait de ne JAMAIS lire ses mails en HTML!!!), et le code s'exécute à la volée (non permanent).

Une seule et unique règle à appliquer, en PERMANENCE: Toujours considérer les données recus en post, get, coockie comme étant potentiellement dangereuse, et donc les tester avant de les réafficher ou enregistrer.

En ce qui concerne le vol de session, c'est lorsqu'un visiteur est connecté, en admin, par exemple, on lui vol son identifiant de session (soit par un sniff de sa trame réseau, soit par du phising, XSS, etc...), afin de pouvoir se connecter a sa place, et donc d'avoir des droits. C'est typiquement cela (sniff) qui est protéger par un certificat SSL.

J'espère avoir pu t'aider un peu plus? Si jamais, pour protéger tes pages, je te conseille php-ids. Un petit script qui t'aidera a augmenter drastiquement ton niveau de sécurité (ce qui ne doit pas t'empécher de bien programmer). Plus d'info ici: http://www.olivierlange.com/2009/02/...-son-site-web/

Onet
24/02/2009, 11h49
Emilie012

Merci beaucoup onnet pour ta réponse, effectivement, tu réponds à beaucoup de mes questions.

J'ai laissé tomber le SSL pour me consacré au pb d'injection SQL essentiellement.

J'ai commencé à regarder le PHP-IDS dont tu parles ceci semble bien fait, mais je vais prendre beaucoup de temps je pense avant de l'insérer sur mon site car cela nécessite de passer par les classes qu'ils proposent, mais c'est en cours ...

J'ai des documents sur mon site (qui sont uploader par l'utilisateur) Est-ce php-ids permet de protéger les documents qui se trouvent sur le disque dur ? ou est-ce que cela se gere uniquement par le .htaccess ?