[SUPPRIME] FAIRE UN SITE ENTIÈREMENT SÉCURISÉ
matrey
Messages postés
399
Date d'inscription
jeudi 31 janvier 2002
Statut
Membre
Dernière intervention
6 septembre 2004
-
1 mai 2003 à 11:43
pgpp Messages postés 58 Date d'inscription dimanche 16 mai 2004 Statut Membre Dernière intervention 2 septembre 2004 - 31 juil. 2006 à 15:15
pgpp Messages postés 58 Date d'inscription dimanche 16 mai 2004 Statut Membre Dernière intervention 2 septembre 2004 - 31 juil. 2006 à 15:15
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/13251-supprime-faire-un-site-entierement-securise
https://codes-sources.commentcamarche.net/source/13251-supprime-faire-un-site-entierement-securise
31 juil. 2006 à 15:15
Et dans le genre j'me casse pas trois pattes pour faire un code au moins compréhensible : novices s'abstenir !
Malgré tout cela, l'idée est effectivement bonne, et répandue. Le problème reste l'authentification : QUI est derrière l'utilisateur ? Le pirate ?
3 problèmes en authentification :
1) Authentification à proprement parler : identifier le client
2) Sécurité des données du formulaire d'authentification
3) Failles permettant à un pirate de se faire passer pour quelqu'un d'autre
Ton script ne résoud aucun de ces problèmes, mais pour "sécuriser" des données peu sensibles, l'IDEE est correcte.
23 mai 2006 à 15:49
en plus ton code est buggé
6 déc. 2005 à 01:59
L'ouverture d'une session crée effectivement un cookie (avec l'id de session) sur le post client... sinon comment le serveur sait que c'est toi... .. ?
Sur le serveur il est créé un fichier de session pas un cookie... .. .
Et si le navigateur du client n'accepte pas les cookie tu peux passer l'id de session par l'url... .. .
@ tchaOo°
30 nov. 2004 à 10:48
une session effectivement ca créé un cookie...sur la mechine hote du site pas sur le client qui vient voir...
donc si tu as un navigateur qui bloque les cookies, bah les sessions elles s'en foutent...
(du moins c ce que j'ai pu tester....si jamais tu as la preuve que c l'inverse je veux bien aller voir (histoire de pas mourrir idiot)) neanmoins, sans cité de nom, il existe un site de jeu dont le nom commence par pri et se termine par zee qui fonctionne avec des sessions (en plus des cookies) et si tu bloques les cookies bah tu peux quand meme y acceder
29 nov. 2004 à 17:06
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
29 nov. 2004 à 17:06
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
29 nov. 2004 à 17:05
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
13 mars 2004 à 20:25
Y a déjà une erreur de frappe :
session_star();
Je vois plutot un test du style :
if(session_is_registered("glob_is_identified")!=TRUE)
12 mars 2004 à 21:32
8 mars 2004 à 22:42
Et si l'utilisateur tape directement index.php?page=MaPage comme URL ?
En plus ton fichier index.php s'autoinclut non ?
9 févr. 2004 à 09:47
// j'utilise javascript car il y a deja paramètre passé pour utiliser un header <- euh il y pt etre une soluce:
if ($resultat) {
ob_start();
$_SESSION["ID_Membre"] = resultat de la requete
header("location: index.php?page=admin");
ob_end_flush();
exit;
} else {
echo "Erreur mot de passe";
}
essaye ca , perso mon header marche qd je fait comme ca ...
maintenant a voir
9 févr. 2004 à 09:42
Donc nvo securité il y a des trucs a faire pour eviter que des noob arrive a mater ton site mais c tout ... tu n'arriveras JAMAIS a faire un site a 100% ss failles ni inviolable.
9 févr. 2004 à 08:41
30 août 2003 à 12:47
13 août 2003 à 15:48
2 août 2003 à 10:16
En effet dans les formulaires il n'ya aucune securité donc bonjours les : CSS/XSS, Sql injection,...
Et ya pas ke les formulaires ki sont pas securisé !
par example il suffit de voir la source pour savoir ke ya un <input hidden..
é on peu chanG sa valeur : par la methode GET !
Bon ya pas ke ca ! mé je V pas tout siT nan plu,
é en fait il n'est pas si dur ke ca de les proteG,
Ilias @membre de OmeGa-Corp-Team
14 mai 2003 à 12:20
14 mai 2003 à 08:55
3 mai 2003 à 13:39
2 mai 2003 à 20:49
et dans mon cas je n'écris pas dans la base, je fais juste un test de de validité, je ne devrais donc pas etre concerné a ce niveau la.
a moins que je n'ai pas tout compris :)
2 mai 2003 à 18:08
pour une une gestion de membres, j'ai trouvé que c'etait l'ideal étant donner, comme je l'ai dis au debut, que de plus en plus de personne n'accepte pas les cookies.
par contre je ne connais pas les failles XSS, je vais voir ca de ce pas :)
ps : même pas une note :(
2 mai 2003 à 17:46
cependant pour une gestion des préférences/droits des utilisateurs, c'est une solution qui me semble :
-pratique car compatible avec tous les navigateurs
-aussi sécurisé que les cookies (ils sont tous 2 touchés par les failles XSS)
2 mai 2003 à 01:12
1 mai 2003 à 12:59
A moins d'une faille PHP
sinon vous en pensez quoi ?? :)
(mise a jour du titre, qui de plus ne veut rien dire lol)
1 mai 2003 à 12:04
1 mai 2003 à 11:43