Protection de répertoire
Fermé
heliconius
Messages postés
545
Date d'inscription
mardi 1 juillet 2008
Statut
Membre
Dernière intervention
23 juin 2023
-
24 juin 2018 à 00:21
astuces72 Messages postés 7722 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 17 avril 2024 - 25 juin 2018 à 08:50
astuces72 Messages postés 7722 Date d'inscription vendredi 15 janvier 2010 Statut Membre Dernière intervention 17 avril 2024 - 25 juin 2018 à 08:50
A voir également:
- Protection de répertoire
- Répertoire téléphonique gratuit - Télécharger - Bureautique
- Contourner protection drm captvty ✓ - Forum Format et connectique vidéo
- Sentinel protection installer - Télécharger - Antivirus & Antimalwares
- Commande dos copy repertoire et sous repertoire ✓ - Forum Windows
- Rav endpoint protection ✓ - Forum Virus
2 réponses
KX
Messages postés
16733
Date d'inscription
samedi 31 mai 2008
Statut
Modérateur
Dernière intervention
31 janvier 2024
3 015
24 juin 2018 à 10:40
24 juin 2018 à 10:40
Bonjour,
Dans tous les cas il te faut un ID de session pour pouvoir naviguer d'une page à une autre de manière sécurisée.
Un cookie c'est juste un type particulier d'en-tête dans ta requête HTML, tu peux très bien contourner l'utilisation d'un cookie en mettant ton ID de session directement dans un autre header qui n'est pas un cookie. Mais cela signifie que tu devras générer ta page HTML en y incluant l'ID de session dans chacun de tes formulaires voire dans les params du GET.
Exemple : http://www.monsite.com/membres?session=123456789abcdef
Attention, en terme de sécurité c'est mauvais, car si quelqu'un intercepte l'URL il pourra utiliser l'ID de session à son propre compte. C'est pour ça qu'il vaut mieux privilégier de mettre l'ID dans les header sd'un POST (ce qui ne changera pas grand chose pour un site en http mais serait protégé en https).
Mais bon, il ne faut pas mettre tout les cookies dans le même panier... ici ce serait dans l'intérêt de l'utilisateur d'en avoir un ! Car tu vas galérer à sécuriser ton site en contournant les standards du web.
Dans tous les cas il te faut un ID de session pour pouvoir naviguer d'une page à une autre de manière sécurisée.
Un cookie c'est juste un type particulier d'en-tête dans ta requête HTML, tu peux très bien contourner l'utilisation d'un cookie en mettant ton ID de session directement dans un autre header qui n'est pas un cookie. Mais cela signifie que tu devras générer ta page HTML en y incluant l'ID de session dans chacun de tes formulaires voire dans les params du GET.
Exemple : http://www.monsite.com/membres?session=123456789abcdef
Attention, en terme de sécurité c'est mauvais, car si quelqu'un intercepte l'URL il pourra utiliser l'ID de session à son propre compte. C'est pour ça qu'il vaut mieux privilégier de mettre l'ID dans les header sd'un POST (ce qui ne changera pas grand chose pour un site en http mais serait protégé en https).
Mais bon, il ne faut pas mettre tout les cookies dans le même panier... ici ce serait dans l'intérêt de l'utilisateur d'en avoir un ! Car tu vas galérer à sécuriser ton site en contournant les standards du web.
astuces72
Messages postés
7722
Date d'inscription
vendredi 15 janvier 2010
Statut
Membre
Dernière intervention
17 avril 2024
1 637
25 juin 2018 à 08:50
25 juin 2018 à 08:50
hello
tu dis:
...en tapant directement le nom d'une page que je sais exister (par exemple: http://www.monsite.com/membres/liste.php), j'évite le garde-chiourme (index.php) et je passe quand même !
Bien sur qu'il faut tester si l'utilisateur à le droit d'être ici.
Comme le note KX, il te faut un ID en Session, et tu tests en début de chaque page, si pas bon, redirection vers la page de connexion ou autre.
Ton ID de Session peut être un $code que tu génères à partir de l'ID visiteur et d'un nombre aléatoire.
Tu peux très bien aussi au moment de la connexion générer ce $code et l'enregistrer dans ta BDD($codebdd), et sur chaque page, tu contrôles que $code = $codebdd, mais je ne sais pas si c'est plus sécurisé qu'un simple contrôle de $code en Session sans passer par la bdd, ça fait un accès à la bdd supplémentairement.
tu dis:
...en tapant directement le nom d'une page que je sais exister (par exemple: http://www.monsite.com/membres/liste.php), j'évite le garde-chiourme (index.php) et je passe quand même !
Bien sur qu'il faut tester si l'utilisateur à le droit d'être ici.
Comme le note KX, il te faut un ID en Session, et tu tests en début de chaque page, si pas bon, redirection vers la page de connexion ou autre.
Ton ID de Session peut être un $code que tu génères à partir de l'ID visiteur et d'un nombre aléatoire.
Tu peux très bien aussi au moment de la connexion générer ce $code et l'enregistrer dans ta BDD($codebdd), et sur chaque page, tu contrôles que $code = $codebdd, mais je ne sais pas si c'est plus sécurisé qu'un simple contrôle de $code en Session sans passer par la bdd, ça fait un accès à la bdd supplémentairement.