En gros, la majorité des sites fonctionnent comme ça:

Page de login (formulaire) avec login + mot de passe. Submit.

Réception par le serveur qui vérifie que login+mot de passe existent en base de données. Si ok, alors création d'un identifiant (ID) de session (numéro tiré au hasard) stocké en base et envoyé à l'internaute sous forme de cookie.

Dans toutes les pages du sites, vérifier le cookie de session.
Si pas de cookie --> renvoi sur la page de login.
Si cookie contient une session expirée --> renvoi sur la page de login.
Si cookie contient une sessions valide --> on vérifie que l'utilisateur qui possède cet ID de session a bien les droits sur la page et on affiche en fonction de son profil.

L'ID de session expire au bout d'un certain temps ou quand l'utilisateur clic sur le bouton 'Logout' (qui supprime le cookie et (de préférence), le supprime en base.)

Et pour vraiment sécuriser le tout, du HTTPS de bout en bout, dès la page de login.


Bon c'est un peu brut comme présentation, mais le principal y est.

Je bosse sur un gros site de commerce électronique c'est à peu près ce qu'on fait.

Il faut créer un fichier .htaccess et un fichier .htpasswd
Tout t'expliquer en détail serait trop long donc voici une adresse qui explique le truc.

Après ca difère selon la config du serveur où est hébergé ton site ( apache ).

Voici l'adresse:http://www.phpfrance.com/tutorials/index.php?id=50­

si après ça tu as des problèmes fait signe

Note que pour faire un site sécurisé, y'a pas besoin d'une grosse machinerie.

Je me suis amusé à en faire un avec TinySSL (un serveur web HTTPS) et une gestion des sessions en CGI (avec Python).
Si on excepte Python, la totalité du bouzin (serveur HTTPS+CGI Python) tient en 1,5 Mo !
(Et j'ai même mis un système pour blacklister automatiquement les IP pour éviter le cassage de mots de passe par brute force :-)

Lasngc a également raison: Si tu as Apache comme serveur web, les fichiers .htaccess sont un moyen de protéger des pages par mot de passe.
(C'est plus simple à mettre en place qu'une gestion de session.)

D'ailleurs : http://www.commentcamarche.net/apache/apachtaccess.php3

;-)
Jeff  --=||[WM@CCM]||=--

Tu peux aussi faire un accès avec un cookie comme dit websauvage avec tes pass et tes logins dans ta base de donnée car là tu choisit après ta mise en page de ton accès ( Mais c'est un peu moins sécurisé que le htaccess). Si tu veux protéger une partie administration je te conseille de loin le .htaccess car si tu as une faille dans ton système les codes sont codés et les décoder relève presque de l'impossible alors qu'en base de donnée c'est du dur même si tu fais ton propre système de codage.

Si c'est pour tes visiteurs, prends une solution différente du htaccess et joue avec le système des cookies.

Encore un truc, c'est tout beau de faire des cookie de longue date mais certain site propose l'envois de mail et là c'est très dangeureux et facilement piratable. Le cookie qui se détruit hors connexion est un peu moins risué sur ce point.

Je te conseille d'éviter le système de mail si tu n'es pas au point sur son utilisation si tu utilise un système de cookie.

Regarde la facilité de récupérer des pass et des pseudos en envoyant des mail HTML sur caramail.

Avec un cookie de sessions assez long tiré au hasard (32 bits, soit 8 octets en hexadécimal), il sera pratiquement impossible pour un pirate de trouver un cookie de session valide.

Il suffit de prendre un générateur de nombres aléatoire, et hop ça roule... :-)

Bonsoir (Bonjour) à tous,

Tiens, ça tombe bien. Voil@ :

1 - J'ai entendu dire qu'on peut faire le binôme htaccess-htpwd sur un sever windows. Est-ce vrai (si yes, comment ?)

2 - J'ai un truc bizzarre qui se passe sur mon site : à partir de ma_page_0 les gens se connectent avc un login/pwd que je leur fournis (car c'est réservé à un groupe de personnes seulement !!!). Ils arrivent sur ma_page_1 et là certains peuvent s'inscrire et un espace perso est créé. Une fois inscrits, ceux qui veulent accéder à leur espace perso, ils se loggent à partir de ma_page_0 et ils accèdent cette fois à ma_page_2 (qui correspond à l'espace réservé). OK. Je crois que j'ai été assez clair, non ?

Problème_1 : tout ceci marche nickel chez certains. Chez d'autres, il arrive qu'ils accèdent directement à ma_page_2 une fois qu'ils ont visité ma_page_1 et avant même qu'ils s'inscrivent. Ils se plaignent même de ne pas pouvoir s'inscrire (puisqu'ils n'accèdent plus à ma_page_1). Et là je m'arrache vraiment les cheveux...

Problème_2 : certains n'arrivent tout simplement pas à se connecter au site. Message d'erreur le plus souvent évoqué : Internet Explorer n'arrive pas à ouvrir...

Précisions :
- En principe, il n'y aucun bug sur mes pages. La preuve, certains y arrivent et s'incrivent sans problème.
- Pour la gestion de tout ceci, j'utilise des cookies-session, une base access (donc sous windows) et un savant mélange d'ASP et de JavaScript.

Je ne vois pas où se situe le problème. Mon hébergeur ne veut rien savoir et dit que tout va bien c/o lui. L'analyse sommaire des logs montrent que le problème survient le plus souvent chez ceux qui ont IE 6 ou Win NT4 ou ceux qui sont chez wanadoo. Est-ce que ça peut venir de ce coté là ?

Désolé, c'est un peu long.

Merci à la toute la troupe de votre aide. C'est assez inquiétant.

Avec le htaccess il y a un problème que j'ai connu:

Certains ne peuvent pas se connecter. pourquoi ? Parce que le codage des lettres semble ne pas fonctionner tout le temps. J'ai résolu le problème en ne mettant que des codes numériques comme 5627 par exemple. Je ne peux pas t'expliquer pourquoi mais depuis que je mets des chiffres à ceux qui n'arrivaient pas à se connecter tout marche à merveille.

fais ça, ça devrait t'aider comme ça l'avais fait pour moi. Les codages de mots de passes ne sont pas toujours au point lorsque le mot de passe possède autre chose que des chiffres.

Le sujet m'interesse...

-= Bobinours =-

Bonsoir à tous;

Pour ce qui me concerne, le pb est réglé. C'était un pb de chez mon hebergeur qui a subi des attaques, comme bcp d'autres ces derniers jours.

@++