bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010
-
7 août 2009 à 15:30
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010
-
19 août 2009 à 15:22
Bonjour! J'ai développé un site web dans lequel, je souhaite intégrer un espace de vente en ligne. j'ai souscris à un hébergement. Je ne dispose pas de moyens pour mettre en place une infrastructure avec des serveurs; ou pour souscrire un autre hébergement uniquement pour l'espace de vente en ligne. Mon souci est le suivant. Je voudrais savoir à quel niveau intégrer les articles que je vend dans l'arborescence de mon site web, et comment protéger ce répertoire de telle sorte ne puisse y avoir accès que seule ceux qui ont acquis un article et ceci après une authentification. En plus un client ne devra télécharger que l'article qu'il a acheté. Merci de m'aider. Bonne journée.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 10 août 2009 à 11:59
Le problème n'est pas de vendre. Il est question, ne disposant pas d'une infrastructure, de mettre à disposition des clients, le produits qu'ils ont acquis en évitant les téléchargement qui ne sont pas consécutif à un achat. je dois utiliser l'espace disque mis à ma disposition par mon forfait d'hébergement.
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 10 août 2009 à 12:08
Les scripts de boutique en ligne bien conçus permettent le téléchargement et permettent d'éviter les téléchargements sauvages.
Mais tu dois savoir qu'une sécurité absolue et totale n'existe jamais. Pour sécuriser une boutique téléchargement, il faut y mettre certains moyens, et là ce n'est pas en HTML simple que tu y parviendras.
Il faut au moins générer des clés sécure (au minimum SGA1) pour les validations de codes de télévhargement et si possible utiliser un serveur relais sécurisé sur lequel se trouvent réellement les données vendues...
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 11 août 2009 à 13:21
D'accord avec toi; securité absolue n'existe pas. Mon soucis est d'eviter que celui qui n'as pas acquis par le biais d'un achat, un produit, le telecharge. Et si jamais c possible, de faire que cela soit l'oeuvre de veritable malins. Donc dans la structure de mon site, trouver un emplacement plus ou moins securisé pour y inserer les articles à telecharger apres achat.
Vous n’avez pas trouvé la réponse que vous recherchez ?
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 11 août 2009 à 14:36
Si ton hébergement le permet, un répertoire hors d el'arborescence racine du site, mais accessible àau serveur web..
et surtout protégé déjà par un .htaccess bien pensé.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 12 août 2009 à 13:48
mon hebergement me permet de creer un repertoire hors de l'arborescence racine du site. Excuse moi: A quoi sert le .htaccess? Fonctionne t-il avec un client ftp? Merci de m'eclairer si c possible. "Il faut au moins générer des clés sécure (au minimum SGA1) pour les validations de codes de téléchargement..." Ci possible merci de m'eclairer aussi. Bonne journée.
cs_thierry la fronde
Messages postés351Date d'inscriptionmercredi 21 juillet 2004StatutMembreDernière intervention12 août 2009 12 août 2009 à 15:51
Bonjour,
J'ai créé un site comme ça ici J'utilise deux systèmes de paiement allopass et paypal.
Allopass est beaucoup plus simple à mettre en place. Avec un peu de php tu peux créer une seule page de téléchargement et en passant des paramètres tu affiche le bon bouton télécharger.
Cette page contiendra un script qui interdit l'affichage si pas de paiement (fournit pas allopass).
Pour paypal c'est assez compliqué.
Tu dois trouver d'autres systèmes de paiements du même ordre.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 12 août 2009 à 17:03
C'est evident que pas d'acces au telechargement s'il n'y a pas achat. le probleme c'est mettre en place un espace de telecharment securisé (dans la mesure du possible) pour ceux qui ont acheté; sans toute fois disposer d'un grand domaine de serveur de relais. vendre en se ruinant le moins possible. créer un repertoire hors de l'arborescence, c bon. la suite c'est le proteger du mieux possible. htaccess c'est l'unique solution pour proteger ce repertoire? Merci. Tu vend avec paypal dans ton site; tu as forcement mis en place un systeme empechant ceux qui n'ont pas achete un cours de le consulter.
cs_thierry la fronde
Messages postés351Date d'inscriptionmercredi 21 juillet 2004StatutMembreDernière intervention12 août 2009 12 août 2009 à 17:28
il faut utiliser les scripts de paypal sur IPN et PDT pour contrôler les achats (ce sont des échanges asynchrone entre ton serveur et paypal), selon le résultat de retour tu autorises ou pas le téléchargement (switch ... case en php par exemple).
exemple :
<?php
switch ($article)
{
case 'cours_php' :
echo "<form action="http://Mon_url/cours_php.zip" method="post">
</form>";
break;
case ....
}?>
ma variable $article contient l'objet de l'achat.
Les téléchargements sont sous format compressés, il faut d'abord télécharger puis consulter (hors connexion par exemple).
Je n'utilise pas de lien texte vers mes téléchargements (des boutons flash ou formulaires cachés avec bouton) pour que les dossiers n'apparaissent pas.
Le mieux serait d'utiliser les api de paypal.. mais là je suis hors course.
après tout dépend du public visé par tes ventes, si tu ne t'adresses pas à des experts webmaster tu ne risques pas grand chose.
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 12 août 2009 à 18:59
Les API Paypal sont quelque peu complexes, c'est vrai.
Une excellente solution poiur qu eles noms d efichiers n'apparaissent jamais est de mettre dans le sformulaires, non le nom de fichier (puisqu'un examen du source de spages permettrait de le trouver) mais un hash md5 par exemple du nom du fichier.. et de stocker les tables de hashing en base de données.
Et la solution pour qu eles fichiers soient aussi invisibles via FTP, c'ets carrément d eles stocker eux aussi dans un champ BLOB de la Base, le hashcode servant de clé primaire..
C'ets relativement simple et peu coûteux à mettre en oeuvre si les fichiers ne dépassent pas une centaine de mégas..
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 13 août 2009 à 11:13
Je n'utilise pas de lien texte vers mes téléchargements (des boutons flash ou formulaires cachés avec bouton) pour que les dossiers n'apparaissent pas. Comment le realiser puisque le bouton flash est insere par un code. Merci
Et la solution pour qu eles fichiers soient aussi invisibles via FTP, c'ets carrément d eles stocker eux aussi dans un champ BLOB de la Base, le hashcode servant de clé primaire..
Inserer 200 fichiers de 80Mo dans una table de la base de données; n'allourdira pas la bd? Merci
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 13 août 2009 à 11:36
Bonjour,
Inserer 200 fichiers de 80Mo dans una table de la base de données; n'allourdira pas la bd?
200 fichiers de 80 mégas ne font guère que 16 gigas, ce qui reste une petite base de données. Quique, la dépendance envers le système d'exploitation pourrait intervenir, certains stsrèmes de fichiers (FAT32...) interddisant les fichiers de plus de 4 gigas.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 13 août 2009 à 14:42
Le site est hebergé sous linux. Est ce que le probleme de systeme de fichier se pose toujours? Si j'insere un fichier de 80Mo dans une table; est ce que l'enregistrement courant fera 80Mo? Merci et Bonne journée
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 14 août 2009 à 16:23
Bonjour! Merci pour les infos. Dernieres choses y a t il des sites qui traitent de la question de la securité d'applications web?Que penses-tu du cgi?est-il important dans le developpement d'un espace vente? Ou trouver les cours traitant du cgi dans la langue de molaire. Encore merci. Ah j'allais oublié; beaucoup de personnes deconseillent de garder les fichiers dans un base de données. Pour quelle raison? Bonnne journée.
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 14 août 2009 à 17:51
Bonjour,
La sécurité des applications webest uen question complexe, et les sites en traitant sont plutôt relativement spécialisés, et le plus souvent en anglais. En recherchant via SecurityFocus, tu devrait peut-être glaner quelques informations.
Mai sles grosses failles d esécurité proviennent surtout d eprogrammes mal conçus ou mal paramétrés.
Le CGI est la "Common Gateway Interface", une interface cancienne qui date d el'époque où on ne pouvait pas embarquer le sinterpréteurs Perl, PHP ou Python directement en tant que module de Apache, ou Lighttpd par exemple.
L'interface CGI ets le plus souvent associée à Perl, qui reste, bien que surclassé dpeuis longtemps, encore pas mal utilisé. Les problèmes de sécurisation d'une application tournant en CGI sont les mêmes qu eceux d ela même application tournant en mode module. Si la faille est dans l'application, quel qu esoit le lieu où on l'exécute, elle restera vulnérable.
Pour c e qui est du stockage des fichiers, le sttockage en BLOB présente, aux yeux d eceratins l'inconvénient des appels indirects et de ne pouvoir être modifiés ou écrasés directement via FTP. Pour ce qui est des performances, sur le papier un stockage de fichier dans le filesystem est plus performant. Mais qu ecompte 1 milliseconde supplémentaire lorsque ton client doit downloader 80 mégas. Il s'agit avant tout de querelles de puristes. Et en cas de piratage de site, la première chose compromise est en général le système d efichiers, avant la base de données.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 17 août 2009 à 16:01
Pour ce qui est des performances, sur le papier un stockage de fichier dans le filesystem est plus performant. Mais qu ecompte 1 milliseconde supplémentaire lorsque ton client doit downloader 80 mégas.
Quel peut etre le ratio entre un fichier stocké dans la bd et un fichier stocké dans le filesystem. Prenons l'exemple type d'un fichier de 80Mo. Merci
nautilus99
Messages postés661Date d'inscriptionvendredi 26 septembre 2008StatutMembreDernière intervention18 septembre 20091 17 août 2009 à 17:05
Bonjour,
Là, les différences en performances dépendent de la valeur alouée par l'initialisation my.cnf au paramètre max_allowed_packet. Par défaut, les tables myisam ont une taille d epaquet de 1 méga (que tu peux, pour optimiser MySQL pour tes besoins, passer à 16 mégas, ce qui, pour un transfert de 80 mégas ne nécessite que 5 transferts de paquets entre disque et mémoire). Dans ce cas, la différence en temps d'accès entre filesystem et base de données devient quasi négligeable.
Les avis indiquant que le stockage image ou fichiers binaires en blobs alourdit considérablement n'est pourtant pas faux. En cas d'hébergements mutualisés (la majorité des cas), comme on ne peut pas toucher au my.cnf, et que d eplus le serveur MySQL est partagé entre une collection de sites et domaines, le stockage en BLOB peut être un facteur de ralentissement.
L'opération n'est conseillée que sur un serveur dédié, avec un SGBD (MySQL, PostgreSQL s'y prêtent bien, Oracle beaucoup moins, et DB2 IBM, pas du tout) parfaitement configuré et optimisé pour les transferts lourds.
bchrist
Messages postés28Date d'inscriptionlundi 9 janvier 2006StatutMembreDernière intervention15 février 2010 19 août 2009 à 10:56
Bonjour
S'il vous plait, pouvez-vous m'aider avec cette erreur?
PHP Startup: mm_create(0, /session_mm_cgi32018) failed, err mm:core: failed to acquire shared memory segment (Invalid argument) in Unknown on line 0
J'aimerais savoir à quoi elle est due et comment y remedier.
Merci pour vos eclaircissements.