Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2801 connectés 

  FORUM HardWare.fr
  Programmation

  [PHP] sécuriser après LOGIN/MDP, méthodes, témoignages?

 
 


Dernière réponse
Sujet : [PHP] sécuriser après LOGIN/MDP, méthodes, témoignages?
Max Evans C kler que rien n'est infaillible ! ;)
Sinon, tu peux essayer de faire un truc k'on voit courament :
Kand vas sur une page, y a une fenetre qui s'ouvre et qui te demande un login et mot de passe ; si tu rentres au PIF, ca te redirige vers une page d'erreur ! ;)
Si tu vois pas ce ke je veux dire, tu peux aller ici : http://phpmyadmin1-2.free.fr/phpMyAdmin/
 
@+ ;)

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
Max Evans C kler que rien n'est infaillible ! ;)
Sinon, tu peux essayer de faire un truc k'on voit courament :
Kand vas sur une page, y a une fenetre qui s'ouvre et qui te demande un login et mot de passe ; si tu rentres au PIF, ca te redirige vers une page d'erreur ! ;)
Si tu vois pas ce ke je veux dire, tu peux aller ici : http://phpmyadmin1-2.free.fr/phpMyAdmin/
 
@+ ;)
stef_dobermann ok
en info rien n'est infaîble
donc à un moment donnée il faut tranché
k666 bin un site pour des  tétards qu je connais pas encore,
mais faut que ce soit sür,
et en fait c que à but pédagogique,
et pour trouver une technique infaillible,
en général je suis assez parano et donc là je veux trouver mon psychologue,
je veux trouver la façon la moins onéreuse et la plus sûre pour créer une interface d'amdinistration de quoi que ce soit,
un truc à mettre, après, un peu partout
stef_dobermann

Citation :


-comment gérer le fait qu'il y aie plusieurs utilisateurs connectés au même moment?


tu génere plusiqur variable de séssions
 

Citation :


-quand effacer cette valeur du serveur?


quand l'utilisateur se déconnect
 
[/quote]
-comment protéger l'envoi du login/mdp via une requête http (donc trackable?)

Citation :


aucune idée
 
[quote]
-comment empêcher quelqu'un qui testerait toutes les combinaisons possibles de login/mdp jusqu'à avoir la bonne?


tu met un compteur au bouit de 3 essais tu stop le test sur ce login  
 

Citation :


????
voilà, mes questions sont sympa non?  


surtout chiante, mais c koi que te fais? un site pour la banque de france ou juste pour 2 utilisateur par jour?

k666 donc:
récapitulons ;)
 
 
le mec arrive à l'accueil sans rien:
 
il tape le BON login/mdp et donc une page ki vérifie ça, lui met un cookie de session avec une variable à valeur aléatoire qui doit être matchée entre  
 
*le serveur (via une bdd ou autre système???)
et
*le cookie session
 
et donc le serveur sait que qui possède ce cookie session avec cette valeur là, a le droit d'accès;
 
premier doute donc:
 
-comment gérer le fait qu'il y aie plusieurs utilisateurs connectés au même moment?
 
-quand effacer cette valeur du serveur?
 
-comment protéger l'envoi du login/mdp via une requête http (donc trackable?)
 
-comment empêcher quelqu'un qui testerait toutes les combinaisons possibles de login/mdp jusqu'à avoir la bonne?
 
?????
voilà, mes questions sont sympa non?
stef_dobermann :ouch: j'ai une grosse connerie la :ouch:
il faut renvoi un autre cookies qui posséde une chaine aléatoire
et faire les controle dessus,
 
la je crois que c'est mieux :D
ethernal

SteF_DOBERMANN a écrit a écrit :

 
 
ensuite je me permettrait de prendre une partie de la phrase de Max Evans

Citation :

<?
Pour chacune de tes pages securisées, tu mets ca  TOUT EN HAUT :
 
if (!$HTTP_COOKIE_VARS["login"] && !$HTTP_COOKIE_VARS["pass"])
{
echo "fo vous identifier";
exit;
}
?>






 
pas bon ça, les sessions oui, renvoyer le login+pwd à chaque accès de page, ça devient trop facile de l'intercepter ;)
Si tu le fais qu'une fois lors de l'établissement de la session, tu limites déjà les dégats

stef_dobermann faut pas être parano kan meme   :pt1cable:  
non pas que ton site n'as d'intéret pour les hackers, mais
qu'avec un cookie de session (cookies qui se met sur le pc de l'user et qui se detrui (en programmation cela revient à ne rein mettre à l'intérieur) kan celui-ci ferme son navigateur
 
Ensuite en ce ki concerne le login/passe ya pas de probleme tu le conparer avec un enregistrement dans une bdd, en plus avec un changement de login/passe tous x mois ca le sécurise à fond
va voir le site http://www.postemploi.com
il utilise ce systeme, et ya aucun problème  (du moins depuis maitenant :D )
 
PS : ce cookies est générer dynamiquement avec les données de la bdd donc quasi inviolable (pourquoi quasi car en informatique RIEN n'est inviolable, la seule chose qui intervient c la temps que va mettre le hacker pour trouver une solution  :hap: )
 
 
ensuite je me permettrait de prendre une partie de la phrase de Max Evans

Citation :

<?
Pour chacune de tes pages securisées, tu mets ca  TOUT EN HAUT :
 
if (!$HTTP_COOKIE_VARS["login"] && !$HTTP_COOKIE_VARS["pass"])
{
echo "fo vous identifier";
exit;
}
?>


Cela fonctionne à merveille  :D  
Je l'utilise depuis des années  :lol:  
 
Ensuite  
tu à écris ce topic pour, je site

Citation :

salut,
voilà, j'aimerai faire ce topic pour savoir quelles sont les méthodes les plus sûres pour sécuriser une partie d'un site web, par exemple l'administration d'un site de e-commerce    


 
j'insiste sur "une partie d'un site internet"
 
c a dire que seul un groupe restrint de personnes seront au courants donc si tu donne comme adresse  
http://www.monsite.com/admin_monsite/login.php par exemple
seul le groupe restrint de personne connaitra cette adresse
donc personne ne soupsonnera que ce site puisse s'administrer directement en ligne  :D et voila tu as un systéme quasi ultra-sécurisé
Voici la proposition que j'utilise pour plusieurs sites internet qui sont à haut to de fréquentation

 

[edtdd]--Message édité par SteF_DOBERMANN--[/edtdd]
k666 et pour le cryptage du cookie
bin
c éventuellement possible
j'avais pensé à  
 
générer un chiffre aléatoire
l'insérer dans la base ainsi qu ela date de création
le mettre dans la session du keumé
une fois que sa session se finit le chiffre est effacé de la base
k666 nan!
je m'en fous un peu de l'user ;)
 
ce que je veux, c lui garantir, qu'avec son LOGIN et son MOT DE PASSE,
ce sera que lui qui accèdera à l'administration de SON site
kileak2

k666 a écrit a écrit :

oué
c pour ça que .... voilà quoi ....
c quoi une méthode sûre? comment faire? (paskà la base c ça la question hein et pas l'utilisation des cookies ;) )  




 
Ben ya bien un moyen de crypter le cookie non ?
 
Mais sinon si l'user se fait hacker, je vois pas bien comment toi en tant que webmaster, tu peux protéger l'user ?!
 
mais peut etre me trompe je !  :)

k666 oué
c pour ça que .... voilà quoi ....
c quoi une méthode sûre? comment faire? (paskà la base c ça la question hein et pas l'utilisation des cookies ;) )
gizmo puisqu'on vous a expliquez plus haut que les cookies c'est pas une méthode sure... :sarcastic:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)