Sécurité administrateur [Fermé]

Signaler
Messages postés
9
Date d'inscription
lundi 5 novembre 2012
Statut
Membre
Dernière intervention
6 avril 2013
-
Messages postés
51
Date d'inscription
lundi 26 novembre 2012
Statut
Membre
Dernière intervention
4 décembre 2012
-
Bonjour,

Je suis sur le point d'éditer la portion administrateur d'un site informel avec intranet pour une entreprise. Je me demandait si un accès du genre mot de passe HTACCESS dans un protocole SSL était super bien sécurisé comme option.

J'ai bien-sûr inclus toute sorte de sécurité dans les formulaires du genre : vérification du mime type, insertion sql, jeton, captcha, regex, ...autre chose à suggéré...

Voilà, si vous penser que ce genre sécurité n'est pas adéquate s.v.p. me le dire et je corrigerai. ( la compétition est disons...très agressive ! Je veux offrir un site très sécurisé dans la limite du faisable.

Merci

3 réponses

Messages postés
1042
Date d'inscription
mardi 30 octobre 2007
Statut
Membre
Dernière intervention
22 novembre 2013
162
Bonjour,

Pourquoi n'utilises pas tu un système de connexion via le contenu de la BDD ?
Evidemment pour le MDP, je te préconiserais un hachage en sha-1 via une clé salt, le tout en SSL.
Une protection contre les injections fait parti de la logique de codage. De plus, tu peux faire un système de blocage d'ips pour les essais intempestif (ex: 5 essais erronés = bloquage du formulaire pendant 30 minutes)

A+
Gaerebut
Messages postés
9
Date d'inscription
lundi 5 novembre 2012
Statut
Membre
Dernière intervention
6 avril 2013

ouais super, je met ça en place aujourd'hui.

Pour la connexion via ce qui ce trouve dans la BDD c'est un peut ca que je fait, mais le contenue ce trouve dans un dossier caché protégé du serveur...Soi le mot de passe htaccess crypté !

est-ce que tu trouve que cela ce ressemble ? donné dans un dossier caché ou donné dans la BDD ?. ( autrement dit tu parlais d'une session relier avec la BDD ? )
Messages postés
51
Date d'inscription
lundi 26 novembre 2012
Statut
Membre
Dernière intervention
4 décembre 2012
2
Moi aussi j'irais pour la BD. C'est beaucoup plus standard, plus facile à gérer (par exemple s'il y a migration) et flexible. Mais, si je comprends bien c'est déjà le cas.

Ce que tu veux faire c'est empêché un usagé d'accéder directement les fichiers par l'url. J'ai bien compris ?

Dans ce cas, oui c'est possible de le faire avec le fichier .htaccess.

L'autre façon serait que PHP soit l'intermédiare. On refuse toutes les requêtes directs sur le répertoire et les fichiers. PHP peut lire et transmettre les fichiers sur demande autorisée. C'est un peu plus robuste. Je peux t'envoier un exemple si tu veux.

Alex
Messages postés
9
Date d'inscription
lundi 5 novembre 2012
Statut
Membre
Dernière intervention
6 avril 2013

oui si tu as un exemple c'est good.

Pour ce qui est de la BDD...Seulement trois personnes auront accès donc je ne voie pas l'intérêt de gérer le tous avec une BDD.

Mais si vous dite que c'est plus sécuritaire...c'est une autre chose.
Si je comprend, vous dite que c'est plus facile pour une migration ou une gestion de beaucoup d'usagé. ( je suis d'accord )

Je veux que la partie administrateur d'un site informel soit protégé au max.
( l'à ou mon client va entrer ses données d'intranet ou modifier les textes de son site. )

Merci
Messages postés
51
Date d'inscription
lundi 26 novembre 2012
Statut
Membre
Dernière intervention
4 décembre 2012
2
Je ne l'ai jamais fait, mais c'est quelque que j'ai souvent voulu faire.

Je fais te faire quelque chose ce soir.

Alex