Site web securise
Fermé
fabkil59
Messages postés
1
Date d'inscription
jeudi 23 janvier 2003
Statut
Membre
Dernière intervention
23 janvier 2003
-
23 janv. 2003 à 12:08
Elixir - 2 juin 2012 à 21:52
Elixir - 2 juin 2012 à 21:52
A voir également:
- Site web securise
- Mode sécurisé - Guide
- Site de telechargement - Guide
- Site inaccessible - Guide
- Instagram web - Guide
- Traduire une page web - Guide
13 réponses
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
23 janv. 2003 à 12:29
23 janv. 2003 à 12:29
En gros, la majorité des sites fonctionnent comme ça:
Page de login (formulaire) avec login + mot de passe. Submit.
Réception par le serveur qui vérifie que login+mot de passe existent en base de données. Si ok, alors création d'un identifiant (ID) de session (numéro tiré au hasard) stocké en base et envoyé à l'internaute sous forme de cookie.
Dans toutes les pages du sites, vérifier le cookie de session.
Si pas de cookie --> renvoi sur la page de login.
Si cookie contient une session expirée --> renvoi sur la page de login.
Si cookie contient une sessions valide --> on vérifie que l'utilisateur qui possède cet ID de session a bien les droits sur la page et on affiche en fonction de son profil.
L'ID de session expire au bout d'un certain temps ou quand l'utilisateur clic sur le bouton 'Logout' (qui supprime le cookie et (de préférence), le supprime en base.)
Et pour vraiment sécuriser le tout, du HTTPS de bout en bout, dès la page de login.
Bon c'est un peu brut comme présentation, mais le principal y est.
Je bosse sur un gros site de commerce électronique c'est à peu près ce qu'on fait.
Page de login (formulaire) avec login + mot de passe. Submit.
Réception par le serveur qui vérifie que login+mot de passe existent en base de données. Si ok, alors création d'un identifiant (ID) de session (numéro tiré au hasard) stocké en base et envoyé à l'internaute sous forme de cookie.
Dans toutes les pages du sites, vérifier le cookie de session.
Si pas de cookie --> renvoi sur la page de login.
Si cookie contient une session expirée --> renvoi sur la page de login.
Si cookie contient une sessions valide --> on vérifie que l'utilisateur qui possède cet ID de session a bien les droits sur la page et on affiche en fonction de son profil.
L'ID de session expire au bout d'un certain temps ou quand l'utilisateur clic sur le bouton 'Logout' (qui supprime le cookie et (de préférence), le supprime en base.)
Et pour vraiment sécuriser le tout, du HTTPS de bout en bout, dès la page de login.
Bon c'est un peu brut comme présentation, mais le principal y est.
Je bosse sur un gros site de commerce électronique c'est à peu près ce qu'on fait.
il faut créer un fichier .htaccess et un fichier .htpasswd
Tout t'expliquer en détail serait trop long donc voici une adresse qui explique le truc.
Après ca difère selon la config du serveur où est hébergé ton site ( apache ).
Voici l'adresse:http://www.phpfrance.com/tutorials/index.php?id=50
si après ça tu as des problèmes fait signe
Tout t'expliquer en détail serait trop long donc voici une adresse qui explique le truc.
Après ca difère selon la config du serveur où est hébergé ton site ( apache ).
Voici l'adresse:http://www.phpfrance.com/tutorials/index.php?id=50
si après ça tu as des problèmes fait signe
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
23 janv. 2003 à 12:32
23 janv. 2003 à 12:32
Note que pour faire un site sécurisé, y'a pas besoin d'une grosse machinerie.
Je me suis amusé à en faire un avec TinySSL (un serveur web HTTPS) et une gestion des sessions en CGI (avec Python).
Si on excepte Python, la totalité du bouzin (serveur HTTPS+CGI Python) tient en 1,5 Mo !
(Et j'ai même mis un système pour blacklister automatiquement les IP pour éviter le cassage de mots de passe par brute force :-)
Je me suis amusé à en faire un avec TinySSL (un serveur web HTTPS) et une gestion des sessions en CGI (avec Python).
Si on excepte Python, la totalité du bouzin (serveur HTTPS+CGI Python) tient en 1,5 Mo !
(Et j'ai même mis un système pour blacklister automatiquement les IP pour éviter le cassage de mots de passe par brute force :-)
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
23 janv. 2003 à 12:34
23 janv. 2003 à 12:34
lasngc a également raison: Si tu as Apache comme serveur web, les fichiers .htaccess sont un moyen de protéger des pages par mot de passe.
(C'est plus simple à mettre en place qu'une gestion de session.)
(C'est plus simple à mettre en place qu'une gestion de session.)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Jean-François Pillou
Messages postés
18707
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
16 février 2023
63 266
23 janv. 2003 à 12:35
23 janv. 2003 à 12:35
D'ailleurs : http://www.commentcamarche.net/apache/apachtaccess.php3
;-)
;-)
Jean-François Pillou
Messages postés
18707
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
16 février 2023
63 266
23 janv. 2003 à 12:35
23 janv. 2003 à 12:35
Tu peux aussi faire un accès avec un cookie comme dit websauvage avec tes pass et tes logins dans ta base de donnée car là tu choisit après ta mise en page de ton accès ( Mais c'est un peu moins sécurisé que le htaccess). Si tu veux protéger une partie administration je te conseille de loin le .htaccess car si tu as une faille dans ton système les codes sont codés et les décoder relève presque de l'impossible alors qu'en base de donnée c'est du dur même si tu fais ton propre système de codage.
Si c'est pour tes visiteurs, prends une solution différente du htaccess et joue avec le système des cookies.
Encore un truc, c'est tout beau de faire des cookie de longue date mais certain site propose l'envois de mail et là c'est très dangeureux et facilement piratable. Le cookie qui se détruit hors connexion est un peu moins risué sur ce point.
Je te conseille d'éviter le système de mail si tu n'es pas au point sur son utilisation si tu utilise un système de cookie.
Regarde la facilité de récupérer des pass et des pseudos en envoyant des mail HTML sur caramail.
Encore un truc, c'est tout beau de faire des cookie de longue date mais certain site propose l'envois de mail et là c'est très dangeureux et facilement piratable. Le cookie qui se détruit hors connexion est un peu moins risué sur ce point.
Je te conseille d'éviter le système de mail si tu n'es pas au point sur son utilisation si tu utilise un système de cookie.
Regarde la facilité de récupérer des pass et des pseudos en envoyant des mail HTML sur caramail.
sebsauvage
Messages postés
32893
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 655
23 janv. 2003 à 15:22
23 janv. 2003 à 15:22
Avec un cookie de sessions assez long tiré au hasard (32 bits, soit 8 octets en hexadécimal), il sera pratiquement impossible pour un pirate de trouver un cookie de session valide.
Il suffit de prendre un générateur de nombres aléatoire, et hop ça roule... :-)
Il suffit de prendre un générateur de nombres aléatoire, et hop ça roule... :-)
Bonsoir (Bonjour) à tous,
Tiens, ça tombe bien. Voil@ :
1 - J'ai entendu dire qu'on peut faire le binôme htaccess-htpwd sur un sever windows. Est-ce vrai (si yes, comment ?)
2 - J'ai un truc bizzarre qui se passe sur mon site : à partir de ma_page_0 les gens se connectent avc un login/pwd que je leur fournis (car c'est réservé à un groupe de personnes seulement !!!). Ils arrivent sur ma_page_1 et là certains peuvent s'inscrire et un espace perso est créé. Une fois inscrits, ceux qui veulent accéder à leur espace perso, ils se loggent à partir de ma_page_0 et ils accèdent cette fois à ma_page_2 (qui correspond à l'espace réservé). OK. Je crois que j'ai été assez clair, non ?
Problème_1 : tout ceci marche nickel chez certains. Chez d'autres, il arrive qu'ils accèdent directement à ma_page_2 une fois qu'ils ont visité ma_page_1 et avant même qu'ils s'inscrivent. Ils se plaignent même de ne pas pouvoir s'inscrire (puisqu'ils n'accèdent plus à ma_page_1). Et là je m'arrache vraiment les cheveux...
Problème_2 : certains n'arrivent tout simplement pas à se connecter au site. Message d'erreur le plus souvent évoqué : Internet Explorer n'arrive pas à ouvrir...
Précisions :
- En principe, il n'y aucun bug sur mes pages. La preuve, certains y arrivent et s'incrivent sans problème.
- Pour la gestion de tout ceci, j'utilise des cookies-session, une base access (donc sous windows) et un savant mélange d'ASP et de JavaScript.
Je ne vois pas où se situe le problème. Mon hébergeur ne veut rien savoir et dit que tout va bien c/o lui. L'analyse sommaire des logs montrent que le problème survient le plus souvent chez ceux qui ont IE 6 ou Win NT4 ou ceux qui sont chez wanadoo. Est-ce que ça peut venir de ce coté là ?
Désolé, c'est un peu long.
Merci à la toute la troupe de votre aide. C'est assez inquiétant.
Tiens, ça tombe bien. Voil@ :
1 - J'ai entendu dire qu'on peut faire le binôme htaccess-htpwd sur un sever windows. Est-ce vrai (si yes, comment ?)
2 - J'ai un truc bizzarre qui se passe sur mon site : à partir de ma_page_0 les gens se connectent avc un login/pwd que je leur fournis (car c'est réservé à un groupe de personnes seulement !!!). Ils arrivent sur ma_page_1 et là certains peuvent s'inscrire et un espace perso est créé. Une fois inscrits, ceux qui veulent accéder à leur espace perso, ils se loggent à partir de ma_page_0 et ils accèdent cette fois à ma_page_2 (qui correspond à l'espace réservé). OK. Je crois que j'ai été assez clair, non ?
Problème_1 : tout ceci marche nickel chez certains. Chez d'autres, il arrive qu'ils accèdent directement à ma_page_2 une fois qu'ils ont visité ma_page_1 et avant même qu'ils s'inscrivent. Ils se plaignent même de ne pas pouvoir s'inscrire (puisqu'ils n'accèdent plus à ma_page_1). Et là je m'arrache vraiment les cheveux...
Problème_2 : certains n'arrivent tout simplement pas à se connecter au site. Message d'erreur le plus souvent évoqué : Internet Explorer n'arrive pas à ouvrir...
Précisions :
- En principe, il n'y aucun bug sur mes pages. La preuve, certains y arrivent et s'incrivent sans problème.
- Pour la gestion de tout ceci, j'utilise des cookies-session, une base access (donc sous windows) et un savant mélange d'ASP et de JavaScript.
Je ne vois pas où se situe le problème. Mon hébergeur ne veut rien savoir et dit que tout va bien c/o lui. L'analyse sommaire des logs montrent que le problème survient le plus souvent chez ceux qui ont IE 6 ou Win NT4 ou ceux qui sont chez wanadoo. Est-ce que ça peut venir de ce coté là ?
Désolé, c'est un peu long.
Merci à la toute la troupe de votre aide. C'est assez inquiétant.
Avec le htaccess il y a un problème que j'ai connu:
Certains ne peuvent pas se connecter. pourquoi ? Parce que le codage des lettres semble ne pas fonctionner tout le temps. J'ai résolu le problème en ne mettant que des codes numériques comme 5627 par exemple. Je ne peux pas t'expliquer pourquoi mais depuis que je mets des chiffres à ceux qui n'arrivaient pas à se connecter tout marche à merveille.
fais ça, ça devrait t'aider comme ça l'avais fait pour moi. Les codages de mots de passes ne sont pas toujours au point lorsque le mot de passe possède autre chose que des chiffres.
Certains ne peuvent pas se connecter. pourquoi ? Parce que le codage des lettres semble ne pas fonctionner tout le temps. J'ai résolu le problème en ne mettant que des codes numériques comme 5627 par exemple. Je ne peux pas t'expliquer pourquoi mais depuis que je mets des chiffres à ceux qui n'arrivaient pas à se connecter tout marche à merveille.
fais ça, ça devrait t'aider comme ça l'avais fait pour moi. Les codages de mots de passes ne sont pas toujours au point lorsque le mot de passe possède autre chose que des chiffres.
Bobinours
Messages postés
2898
Date d'inscription
jeudi 26 avril 2001
Statut
Membre
Dernière intervention
21 mars 2013
504
25 janv. 2003 à 06:07
25 janv. 2003 à 06:07
Le sujet m'interesse...
-= Bobinours =-
-= Bobinours =-
Bonsoir à tous;
Pour ce qui me concerne, le pb est réglé. C'était un pb de chez mon hebergeur qui a subi des attaques, comme bcp d'autres ces derniers jours.
@++
Pour ce qui me concerne, le pb est réglé. C'était un pb de chez mon hebergeur qui a subi des attaques, comme bcp d'autres ces derniers jours.
@++
Mwesto Web Guard est un système que j'ai trouver sur www.mwesto.be il permet de sécuriser et de mettre sous surveillance votre site php très facilement.
http://www.mwesto.be/ dans la rubrique sécurité.
le système repère et banni les pirates de votre site automatiquement de plus il vous donnera l'ip, le browser, l'os, la langue, la géolocalisation et l'heure a la quelle le hacker a attaqué donc tous ce qui faut pour porter plainte =]
http://www.mwesto.be/ dans la rubrique sécurité.
le système repère et banni les pirates de votre site automatiquement de plus il vous donnera l'ip, le browser, l'os, la langue, la géolocalisation et l'heure a la quelle le hacker a attaqué donc tous ce qui faut pour porter plainte =]
