EMPECHER LA VISITE DIRECTE OU DEPUIS CERTAINS SITES VERS LE VOTRE
RedFo1
Messages postés73Date d'inscriptionlundi 31 mai 2004StatutMembreDernière intervention23 février 2007
-
16 juin 2004 à 16:39
matrey
Messages postés399Date d'inscriptionjeudi 31 janvier 2002StatutMembreDernière intervention 6 septembre 2004
-
21 juin 2004 à 10:21
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
matrey
Messages postés399Date d'inscriptionjeudi 31 janvier 2002StatutMembreDernière intervention 6 septembre 2004 21 juin 2004 à 10:21
remarque : le referer peut être changé comme on veut, c'est pas du tout fiable...
cs_iubito
Messages postés629Date d'inscriptionmercredi 3 juillet 2002StatutMembreDernière intervention 9 octobre 2006 21 juin 2004 à 06:58
déjà il vaudrait mieux te faire une petite liste de sites que tu veux bannir, et faire avec une regexp
parce que ton truc, si on est au courant, il suffit d'ajouter quelques caractères bidons à l'url de la page précédente, et hop on gagne :-)
Par exemple si on appelle http://localhost/monsite/authorized_camefrom.php?toto=pouetpouet tu l'as dans l'...
a+
thepopolinux
Messages postés245Date d'inscriptionjeudi 9 janvier 2003StatutMembreDernière intervention21 juin 2004 21 juin 2004 à 01:35
Je rapelle quand même que le sytème n'est pas infaible vu qu'on peux très bien recréer une requette HTTP en spécifiant le referer que l'on veux ...
Enfin tu as quand même réussi a faire ce que multimania a fait en plusieurs années (bon c multimania osi ... lol)
@++
cs_koko
Messages postés654Date d'inscriptionlundi 14 janvier 2002StatutMembreDernière intervention20 février 2005 17 juin 2004 à 07:20
je pense que les htaccess sont justement activés partout !
je ne connais que free qui limite un peu...
mais c'est vraiment beaucoup plus simple avec les htaccess !
deny from ip
deny from host
sinon je trouve cette méthode un peu légère ! et tres facile a passée !
(enfin je crois)
1. le http_referer n'est pas obligatoire
2. c'est facile a le modifier !
je verais plus un truc de session !
session_start en haut de la page
$_SESSION['page'] = $_SERVER['PHP_SELF'];
puis apres :
if ($_SESSION['page'] == 'page.php') {
//c'est bon !!
}
else {
//mauvais !
}
c'est déjà plus sécurisé... mais pas encore assez ! (la sécurité a 100 % c'est pas possible)
cs_pyranhaz
Messages postés236Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention13 décembre 2004 17 juin 2004 à 01:43
Il existe également quelque chose d'autres d'encore plus perfectionné pour justement contrecarrer la visite directe d'une page et qui utilise un .htaccess
Ce n'est pas tous les hébergeurs qui supportent cette fonction et encore moions les gratuits...
Cette façon de faire est utilisée entres autres par les hébergeurs de site XXX
cs_pyranhaz
Messages postés236Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention13 décembre 2004 17 juin 2004 à 01:38
et ce code ressemble étrangement à une source que j'ai passé il y a un certain temps et dont elle fut largement commentée et où un membre m'a dit exactement ce que je viens de dire côté sécurité...
cs_pyranhaz
Messages postés236Date d'inscriptionmardi 13 mai 2003StatutMembreDernière intervention13 décembre 2004 17 juin 2004 à 01:36
Question sécurité, voici une réponse claire et sans détour !
Pour passer ton code suffirai d'une simple socket
Facilement contournable et inutile côté sécurité...
La seile erficacité connu serait un cookie de session php
webkiller51
Messages postés79Date d'inscriptionsamedi 23 août 2003StatutMembreDernière intervention10 janvier 2006 16 juin 2004 à 21:31
Mechanicman> peut être la méme idée ke moi? non?
lol
@ ++ ka mm
cs_windu
Messages postés282Date d'inscriptionvendredi 16 mai 2003StatutMembreDernière intervention19 juillet 2006 16 juin 2004 à 21:14
redFo1>>Ca dépen de la config de PHP & de ta version....
je voulais savoir si c'est sécurisé comme système??? si oui on pourrati s'en servir comme système de verif lorsque quelqu'un arrive sur une page admin pour etre sur qu'il s'est identifié avant (peu etre que c'est a quoi pensai Mechanicman???)
Mechanicman
Messages postés60Date d'inscriptionlundi 28 juillet 2003StatutMembreDernière intervention 7 novembre 2004 16 juin 2004 à 18:10
mhhh...ça me donne une idée... ;)
RedFo1
Messages postés73Date d'inscriptionlundi 31 mai 2004StatutMembreDernière intervention23 février 2007 16 juin 2004 à 16:39
salut,
chez moi il faut mettre $perecedent=$_SERVER["HTTP_REFERER"]; (un problème de version ?)
21 juin 2004 à 10:21
21 juin 2004 à 06:58
parce que ton truc, si on est au courant, il suffit d'ajouter quelques caractères bidons à l'url de la page précédente, et hop on gagne :-)
Par exemple si on appelle http://localhost/monsite/authorized_camefrom.php?toto=pouetpouet
tu l'as dans l'...
a+
21 juin 2004 à 01:35
Enfin tu as quand même réussi a faire ce que multimania a fait en plusieurs années (bon c multimania osi ... lol)
@++
17 juin 2004 à 07:20
je ne connais que free qui limite un peu...
mais c'est vraiment beaucoup plus simple avec les htaccess !
deny from ip
deny from host
http://www.commentcamarche.net/apache/apacht.php3
un site qui explique un peu les htaccess :)
sinon je trouve cette méthode un peu légère ! et tres facile a passée !
(enfin je crois)
1. le http_referer n'est pas obligatoire
2. c'est facile a le modifier !
je verais plus un truc de session !
session_start en haut de la page
$_SESSION['page'] = $_SERVER['PHP_SELF'];
puis apres :
if ($_SESSION['page'] == 'page.php') {
//c'est bon !!
}
else {
//mauvais !
}
c'est déjà plus sécurisé... mais pas encore assez ! (la sécurité a 100 % c'est pas possible)
17 juin 2004 à 01:43
Ce n'est pas tous les hébergeurs qui supportent cette fonction et encore moions les gratuits...
Cette façon de faire est utilisée entres autres par les hébergeurs de site XXX
17 juin 2004 à 01:38
http://www.phpcs.com/code.aspx?ID=19382
17 juin 2004 à 01:36
Pour passer ton code suffirai d'une simple socket
Facilement contournable et inutile côté sécurité...
La seile erficacité connu serait un cookie de session php
16 juin 2004 à 21:31
lol
@ ++ ka mm
16 juin 2004 à 21:14
je voulais savoir si c'est sécurisé comme système??? si oui on pourrati s'en servir comme système de verif lorsque quelqu'un arrive sur une page admin pour etre sur qu'il s'est identifié avant (peu etre que c'est a quoi pensai Mechanicman???)
16 juin 2004 à 18:10
16 juin 2004 à 16:39
chez moi il faut mettre $perecedent=$_SERVER["HTTP_REFERER"]; (un problème de version ?)