Proposer des téléchargements "Sécurisés" [Résolu]

Signaler
Messages postés
30
Date d'inscription
mercredi 2 novembre 2005
Statut
Membre
Dernière intervention
16 avril 2010
-
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
-
Bonjour à tous,

Je possède un site avec un espace sécurisé (pour mes clients).
Le site est developpé en asp.net et hebergé sur ASPSERVEUR.com

Chaque client peut suivre l'avancement de ses dossiers sur les pages ASP.
Je souhaiterais leur offrir la possibilité de télécharger des documents depuis leur espace securisé.

Quelle est la meilleure manière de procéder ?

La question de sécurité est importante car les clients ne doivent pas connaitre l'url de telechargement ( sous peine de récupérer les dossiers des concurrents http://monsite/lesdossiers/projet1.pdf en remplaçant le 1 par 1000 par exemple)

Les fiches PDF ne seront pas stockés sur le serveur par l'hebergeur.

8 réponses

Messages postés
30
Date d'inscription
mercredi 2 novembre 2005
Statut
Membre
Dernière intervention
16 avril 2010

J'ai effectivement utilisé :

1- un hash SHA1 à partir du nom du fichier

2- concaténation du nom de fichier avec le résultat du hash codé en héxadécimal pour éviter les caractères spéciaux dans l'adresse Url.


Mes URL de téléchargement sont maintenant de la forme : http://monsite/lesdossiers/projet1a4f7r5g2cv1d57e5f5f4e5a5e4t5t4t.pdf



Mes téléchargements sont sécurisés :)
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
13
Tu dois faire une page qui prend en paramètre une chaine en Base64, qui contient :
- la vraie URL du fichier dont ton script devra renvoyer le contenu
- la date et l'heure de création de la requête : si ça dépasse de plus de 30 secondes, refus
---
VB.NET is good ... VB6 is better
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
13
Et encore une chose à mettre dedans : un MD5 avec une graine ajoutée (pour éviter qu'on essaie de reproduire la requête). Pour vérifier que c'est OK, tu commences par le hash et puis par la date et l'heure.
---
VB.NET is good ... VB6 is better
Messages postés
30
Date d'inscription
mercredi 2 novembre 2005
Statut
Membre
Dernière intervention
16 avril 2010

Je ne suis pas sur de te suivre dans ta réponse, pourrais tu plus expliciter les termes :
en base64
pourquoi 30 secondes ?
requête représente quoi exactement


Je hash quoi élément ?


Un bout de code même grossierement m'aidera bcp

MErci.
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
13
- Base64 : voir Wiki, je ne sais pas exactement comment ça fonctionne.
- 30 secondes parce que sinon on peut se créer une base de liens et ta protection deviendrait inutile.
- La requête est le résultat de tes paramètres (séparés par des lignes différentes) :[list][*] Le n° du document
[*] La date
[*] Un hash MD5 pour vérifier que ce n'est pas une requête forgée (crée à la main par le hacker)
/list
---
VB.NET is good ... VB6 is better
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
13
Pas sécurisé, n'importe qui peut stocker la liste des fichiers hébergés sur ton serveur et les référencer dans sa base.
---
VB.NET is good ... VB6 is better
Messages postés
30
Date d'inscription
mercredi 2 novembre 2005
Statut
Membre
Dernière intervention
16 avril 2010

Je ne comprends pas comment il s'y prendrait s'il ne connait pas le nom des fichiers. ?

J'ai loupé quelque chose peut être ?
Messages postés
3983
Date d'inscription
jeudi 14 juillet 2005
Statut
Membre
Dernière intervention
30 juin 2013
13
Si des liens se trouvent sur une page de ton site, un webcrawler te trouvera l'adresse de tous tes documents
---
VB.NET is good ... VB6 is better