htacces et les réseaux

htacces et les réseaux
Ionace	Le 27/09/2006 à 16:59
	Un celebre dicton dit : "La ou un developpeur pense que personne n'ira chercher, quelqu'un quelque part dans le monde essayera et trouvera" La meilleure des securite ne se repose pas sur un flou destine a brouiller les pistes mais bel et bien sur un algo connu et sure. un exemple te fera comprendre ma remarque : Microsoft est un adepte du brouillage des pistes. Est-ce que sa leur est finallement utile ? Le nombre de failles ne cesse d'augmenter et certaines ne sont meme pas corrigees ! Et pourtant c'etait cense rester secret. L'echelle n'est evidement pas la meme (tu en es loin, et heuresement pour toi) mais cale donne matiere a reflechir... Tu veux securiser ? Utilsies les sessions, les mots de passes et l'authentification via un SSID genere a la main. C'est ce que j'ai fait pour un site sur lequel je bosse : Lors de l'authentification, un SSID est geenre (40 lettre, chiffre minuscules majuscules) et inscrit dans une bdd avec un timestanp (j'ai mis 3 minutes mais tu peut mettre 1 h si tu veux). Le SSID est inscrit dans une session et a chaque changement de page, le script verifie si le SSID est en rapport avec le pseudo et si le timestanp n'est pas perime. Si tout est bon, un nouvel SSID est regenere et la table est mise a jour. Ainsi, si on viole ma session (qui contient 2 var => le pseudo + le ssid), on ne pourra qu'avec une chance absolument ahurissante vole la session, donc le compte mais t'imagines trouver au hasard la valeur Hjf42fz3435ezroiKlfzejhzdf32sdepzmABCd54g ?? Si jamais la session est perime ou que le pirate modifie la session en mettant le pseudo d'un admin, comme le SSID ne correspondra pas a celui de l'admin, bah il l'a dans les f.... . Le script lui demandera de s'authentifier. Simple et efficace. Si tu veux des codes, je peut te les filer si tu veux pour te donner un exemple ! @+
Erix	Le 04/10/2006 à 14:37
	IoNAce a écrit : Si tu veux des codes, je peut te les filer si tu veux pour te donner un exemple ! @+ Salut IoNAce, perso ça m'interresserais de lire ces codes pour voir si je peux les mettre en production. J'ai un site ou les informations contenues sont confidentielles et ou seuls les clients doivent pouvoir se connecter. Je pensais faire un filtrage par IP dans la mesure ou ils sont tous en IP fixes mais ce que je lis sur ce thread me laisse penser que ce n'est pas une très bonne idée.... Merci d'avance.
Ionace	Le 04/10/2006 à 16:38
	Salut Erix ! pas de probleme : voici un de mes codes qui utilise "en partie" ce que je viens d'expliquer. En fait il est un peu plus violent donc pour la production c'est pas top mais pour un espace perso securise c'est franchement cool (c'est mon avis en tout cas). Par contre va falloir fouiller ^^ (le code est plutot long) Voila mon site ou tu pourras trouver ce qu'il te faut ! (c'est album photo avec partie admin) @++
Bimini	Le 04/10/2006 à 18:17
	Salut IoNAce, Me revoilà, Effectivement j'allais te demander ton code et je vois que tu l'a déjà proposé et je vais me jeter dessus. Merci pour tes conseils. A plus, Bimini.
Ionace	Le 04/10/2006 à 21:16
	Cool ! Petite precision par rapport au code en question : le ssid genere est mis en dur au debut de chaque formulaire que compte le script (celui de la partie admin). Dans l'exemple que je mentionnais plus haut, j'ai pris en compte de transposer ce ssid dans une variable de session avec verification dans al bdd (comme je l'ai indique plus haut). Prenez en compte pendant vos phases de transcription ! @+
Erix	Le 06/10/2006 à 12:31
	Merci IoNAce ;)
Ionace	Le 06/10/2006 à 17:27
	Avec plaisir :-) N'hesitez pas si vous avez des questions :p @++

Vous avez résolu votre problème avec VIC ? Faites-le savoir sur les réseaux sociaux !