matrey
Messages postés399Date d'inscriptionjeudi 31 janvier 2002StatutMembreDernière intervention 6 septembre 2004
-
1 mai 2003 à 11:43
pgpp
Messages postés58Date d'inscriptiondimanche 16 mai 2004StatutMembreDernière intervention 2 septembre 2004
-
31 juil. 2006 à 15:15
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
pgpp
Messages postés58Date d'inscriptiondimanche 16 mai 2004StatutMembreDernière intervention 2 septembre 2004 31 juil. 2006 à 15:15
Mmmh j'aime les Warnings !
Et dans le genre j'me casse pas trois pattes pour faire un code au moins compréhensible : novices s'abstenir !
Malgré tout cela, l'idée est effectivement bonne, et répandue. Le problème reste l'authentification : QUI est derrière l'utilisateur ? Le pirate ?
3 problèmes en authentification :
1) Authentification à proprement parler : identifier le client
2) Sécurité des données du formulaire d'authentification
3) Failles permettant à un pirate de se faire passer pour quelqu'un d'autre
Ton script ne résoud aucun de ces problèmes, mais pour "sécuriser" des données peu sensibles, l'IDEE est correcte.
statopulos01
Messages postés18Date d'inscriptionmercredi 2 avril 2003StatutMembreDernière intervention 1 août 2007 23 mai 2006 à 15:49
zip...
en plus ton code est buggé
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 6 déc. 2005 à 01:59
Ronanry...
L'ouverture d'une session crée effectivement un cookie (avec l'id de session) sur le post client... sinon comment le serveur sait que c'est toi... .. ?
Sur le serveur il est créé un fichier de session pas un cookie... .. .
Et si le navigateur du client n'accepte pas les cookie tu peux passer l'id de session par l'url... .. .
@ tchaOo°
ronanry
Messages postés190Date d'inscriptionlundi 25 novembre 2002StatutMembreDernière intervention22 décembre 2009 30 nov. 2004 à 10:48
renaud288....
une session effectivement ca créé un cookie...sur la mechine hote du site pas sur le client qui vient voir...
donc si tu as un navigateur qui bloque les cookies, bah les sessions elles s'en foutent...
(du moins c ce que j'ai pu tester....si jamais tu as la preuve que c l'inverse je veux bien aller voir (histoire de pas mourrir idiot)) neanmoins, sans cité de nom, il existe un site de jeu dont le nom commence par pri et se termine par zee qui fonctionne avec des sessions (en plus des cookies) et si tu bloques les cookies bah tu peux quand meme y acceder
renaud288
Messages postés8Date d'inscriptionjeudi 26 février 2004StatutMembreDernière intervention13 décembre 2004 29 nov. 2004 à 17:06
Petite remarque:
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
renaud288
Messages postés8Date d'inscriptionjeudi 26 février 2004StatutMembreDernière intervention13 décembre 2004 29 nov. 2004 à 17:06
Petite remarque:
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
renaud288
Messages postés8Date d'inscriptionjeudi 26 février 2004StatutMembreDernière intervention13 décembre 2004 29 nov. 2004 à 17:05
Petite remarque:
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
JohnEM13
Messages postés7Date d'inscriptionsamedi 18 janvier 2003StatutMembreDernière intervention25 février 2006 13 mars 2004 à 20:25
Bonjour,
Y a déjà une erreur de frappe :
session_star();
Je vois plutot un test du style :
if(session_is_registered("glob_is_identified")!=TRUE)
PlastiX
Messages postés15Date d'inscriptionmardi 18 juin 2002StatutMembreDernière intervention16 mars 2004 12 mars 2004 à 21:32
Oups...en fait oubliez ce que j'ai dit, mon include ne ferait qu'une inclusion du fichier interprété. Mea culpa ;)
PlastiX
Messages postés15Date d'inscriptionmardi 18 juin 2002StatutMembreDernière intervention16 mars 2004 8 mars 2004 à 22:42
Je me trompe peut-être mais si on créée un fichier php qui démarre une session, qui met une valeur dans $_SESSION["ID_Membre"] et qui fait un include("index.php") il va pas y avoir un problème ?
Et si l'utilisateur tape directement index.php?page=MaPage comme URL ?
En plus ton fichier index.php s'autoinclut non ?
lumesh
Messages postés564Date d'inscriptionjeudi 21 février 2002StatutMembreDernière intervention 7 novembre 2008 9 févr. 2004 à 09:47
ah vi aussi:
// j'utilise javascript car il y a deja paramètre passé pour utiliser un header <- euh il y pt etre une soluce:
if ($resultat) {
ob_start();
$_SESSION["ID_Membre"] = resultat de la requete
header("location: index.php?page=admin");
ob_end_flush();
exit;
} else {
echo "Erreur mot de passe";
}
essaye ca , perso mon header marche qd je fait comme ca ...
maintenant a voir
lumesh
Messages postés564Date d'inscriptionjeudi 21 février 2002StatutMembreDernière intervention 7 novembre 2008 9 févr. 2004 à 09:42
bah le probleme c'est qu'en tant que dev tu vois ce ke tu px faire ! par exmeple bon c un peu compliquer mais imagine tu recupere la source dune page web tu analyse les images via reconnaissance de caractere et tu recup le champ du formullaire ou entrer le code et hop le tour est jouer ... donc tu vois bon okay c pas donné au premier venu mais si vraiment qqn vx kc ton site il le cassera !!!!!!
Donc nvo securité il y a des trucs a faire pour eviter que des noob arrive a mater ton site mais c tout ... tu n'arriveras JAMAIS a faire un site a 100% ss failles ni inviolable.
maitredede
Messages postés153Date d'inscriptionvendredi 9 août 2002StatutMembreDernière intervention18 septembre 2009 9 févr. 2004 à 08:41
a votre avis, ce formulaire + image de protection (scripts trouvés dans ce site) C correcte comme sécurité ?
thedudul
Messages postés33Date d'inscriptionmardi 31 décembre 2002StatutMembreDernière intervention28 novembre 2004 30 août 2003 à 12:47
Pour ce qui est "inviolable", je croi que les personnes plus haut on bien résumé. Par contre je tient tout de même a dire que le code est bien documenté et expliqué. Bref pour celui qui le prend tel quel c'est sur qu'il aura pas une super sécurité, mais pour celui qui veu aprendre le php c'est pas mal, aller hop 8/10 ca les mérites bien (je suis sévère mais c'est comme ca qu'on progresse lol).
ralary
Messages postés25Date d'inscriptionmercredi 23 avril 2003StatutMembreDernière intervention14 septembre 2007 13 août 2003 à 15:48
et alors inviolable mais pour rien la protection du repertoire suffit
cs_xenan
Messages postés20Date d'inscriptiondimanche 22 décembre 2002StatutMembreDernière intervention29 avril 2008 2 août 2003 à 10:16
Ton script n'est pas inviolable,
En effet dans les formulaires il n'ya aucune securité donc bonjours les : CSS/XSS, Sql injection,...
Et ya pas ke les formulaires ki sont pas securisé !
par example il suffit de voir la source pour savoir ke ya un <input hidden..
é on peu chanG sa valeur : par la methode GET !
Bon ya pas ke ca ! mé je V pas tout siT nan plu,
é en fait il n'est pas si dur ke ca de les proteG,
Ilias @membre de OmeGa-Corp-Team
randiox
Messages postés17Date d'inscriptionmercredi 30 avril 2003StatutMembreDernière intervention 6 février 2005 14 mai 2003 à 12:20
oué c'est sympa .... a part qu'il manque un petit T a la ligne 3 ... :D
cs_Loser
Messages postés33Date d'inscriptiondimanche 12 janvier 2003StatutMembreDernière intervention 7 novembre 2006 14 mai 2003 à 08:55
dans l'ensemble c'est cool
randiox
Messages postés17Date d'inscriptionmercredi 30 avril 2003StatutMembreDernière intervention 6 février 2005 3 mai 2003 à 13:39
oué si c'est pas XSS c'est SQL injection ^^
Wize
Messages postés6Date d'inscriptionmercredi 29 janvier 2003StatutMembreDernière intervention 2 mai 2003 2 mai 2003 à 20:49
exacte pour le XSS, mais avec l'utilisation de forumlaire il est apparement tres difficile de se proteger.
et dans mon cas je n'écris pas dans la base, je fais juste un test de de validité, je ne devrais donc pas etre concerné a ce niveau la.
a moins que je n'ai pas tout compris :)
Wize
Messages postés6Date d'inscriptionmercredi 29 janvier 2003StatutMembreDernière intervention 2 mai 2003 2 mai 2003 à 18:08
il es vrai qu'un .htaccess est encore plus simlpe, mais je le trouve aussi moins conviviale.
pour une une gestion de membres, j'ai trouvé que c'etait l'ideal étant donner, comme je l'ai dis au debut, que de plus en plus de personne n'accepte pas les cookies.
par contre je ne connais pas les failles XSS, je vais voir ca de ce pas :)
ps : même pas une note :(
randiox
Messages postés17Date d'inscriptionmercredi 30 avril 2003StatutMembreDernière intervention 6 février 2005 2 mai 2003 à 17:46
exact ronanry, idem pour un httplogin qui est bien plus pratique pour proteger un répertoire...
cependant pour une gestion des préférences/droits des utilisateurs, c'est une solution qui me semble :
-pratique car compatible avec tous les navigateurs
-aussi sécurisé que les cookies (ils sont tous 2 touchés par les failles XSS)
ronanry
Messages postés190Date d'inscriptionlundi 25 novembre 2002StatutMembreDernière intervention22 décembre 2009 2 mai 2003 à 01:12
euh....sauf erreur de ma part....si tu met tes fichiers dans un dossier protege par un htaccess......bzh y a plus besoin de ton code....non??
Wize
Messages postés6Date d'inscriptionmercredi 29 janvier 2003StatutMembreDernière intervention 2 mai 2003 1 mai 2003 à 12:59
c'est vrai que le mot est un peut fort, mais franchement je ne vois pas ce que peut faire un utilisateur devant un tel script, du moment qu'il ne recupere pas les info d'un autre membre par S.O ou autre méthode.
A moins d'une faille PHP
sinon vous en pensez quoi ?? :)
(mise a jour du titre, qui de plus ne veut rien dire lol)
lumesh
Messages postés564Date d'inscriptionjeudi 21 février 2002StatutMembreDernière intervention 7 novembre 2008 1 mai 2003 à 12:04
inviolable.... ce lot faudrait le virer du dico informatique ! ....
matrey
Messages postés399Date d'inscriptionjeudi 31 janvier 2002StatutMembreDernière intervention 6 septembre 2004 1 mai 2003 à 11:43
31 juil. 2006 à 15:15
Et dans le genre j'me casse pas trois pattes pour faire un code au moins compréhensible : novices s'abstenir !
Malgré tout cela, l'idée est effectivement bonne, et répandue. Le problème reste l'authentification : QUI est derrière l'utilisateur ? Le pirate ?
3 problèmes en authentification :
1) Authentification à proprement parler : identifier le client
2) Sécurité des données du formulaire d'authentification
3) Failles permettant à un pirate de se faire passer pour quelqu'un d'autre
Ton script ne résoud aucun de ces problèmes, mais pour "sécuriser" des données peu sensibles, l'IDEE est correcte.
23 mai 2006 à 15:49
en plus ton code est buggé
6 déc. 2005 à 01:59
L'ouverture d'une session crée effectivement un cookie (avec l'id de session) sur le post client... sinon comment le serveur sait que c'est toi... .. ?
Sur le serveur il est créé un fichier de session pas un cookie... .. .
Et si le navigateur du client n'accepte pas les cookie tu peux passer l'id de session par l'url... .. .
@ tchaOo°
30 nov. 2004 à 10:48
une session effectivement ca créé un cookie...sur la mechine hote du site pas sur le client qui vient voir...
donc si tu as un navigateur qui bloque les cookies, bah les sessions elles s'en foutent...
(du moins c ce que j'ai pu tester....si jamais tu as la preuve que c l'inverse je veux bien aller voir (histoire de pas mourrir idiot)) neanmoins, sans cité de nom, il existe un site de jeu dont le nom commence par pri et se termine par zee qui fonctionne avec des sessions (en plus des cookies) et si tu bloques les cookies bah tu peux quand meme y acceder
29 nov. 2004 à 17:06
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
29 nov. 2004 à 17:06
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
29 nov. 2004 à 17:05
tu parles de problème pour sécuriser un site à l'aide de cookies... j'admet que c'est lourd et que je n'utilise pas car c'est pas hyper sécurisé...
Cependant, un navigateur qui refuse les cookies va avoir le même souci avec les session... tu crois qu'une session ca marche comment???? ben avec un cookie quand meme...
Bonne prog a tous et pensez à sécuriser vos sites
13 mars 2004 à 20:25
Y a déjà une erreur de frappe :
session_star();
Je vois plutot un test du style :
if(session_is_registered("glob_is_identified")!=TRUE)
12 mars 2004 à 21:32
8 mars 2004 à 22:42
Et si l'utilisateur tape directement index.php?page=MaPage comme URL ?
En plus ton fichier index.php s'autoinclut non ?
9 févr. 2004 à 09:47
// j'utilise javascript car il y a deja paramètre passé pour utiliser un header <- euh il y pt etre une soluce:
if ($resultat) {
ob_start();
$_SESSION["ID_Membre"] = resultat de la requete
header("location: index.php?page=admin");
ob_end_flush();
exit;
} else {
echo "Erreur mot de passe";
}
essaye ca , perso mon header marche qd je fait comme ca ...
maintenant a voir
9 févr. 2004 à 09:42
Donc nvo securité il y a des trucs a faire pour eviter que des noob arrive a mater ton site mais c tout ... tu n'arriveras JAMAIS a faire un site a 100% ss failles ni inviolable.
9 févr. 2004 à 08:41
30 août 2003 à 12:47
13 août 2003 à 15:48
2 août 2003 à 10:16
En effet dans les formulaires il n'ya aucune securité donc bonjours les : CSS/XSS, Sql injection,...
Et ya pas ke les formulaires ki sont pas securisé !
par example il suffit de voir la source pour savoir ke ya un <input hidden..
é on peu chanG sa valeur : par la methode GET !
Bon ya pas ke ca ! mé je V pas tout siT nan plu,
é en fait il n'est pas si dur ke ca de les proteG,
Ilias @membre de OmeGa-Corp-Team
14 mai 2003 à 12:20
14 mai 2003 à 08:55
3 mai 2003 à 13:39
2 mai 2003 à 20:49
et dans mon cas je n'écris pas dans la base, je fais juste un test de de validité, je ne devrais donc pas etre concerné a ce niveau la.
a moins que je n'ai pas tout compris :)
2 mai 2003 à 18:08
pour une une gestion de membres, j'ai trouvé que c'etait l'ideal étant donner, comme je l'ai dis au debut, que de plus en plus de personne n'accepte pas les cookies.
par contre je ne connais pas les failles XSS, je vais voir ca de ce pas :)
ps : même pas une note :(
2 mai 2003 à 17:46
cependant pour une gestion des préférences/droits des utilisateurs, c'est une solution qui me semble :
-pratique car compatible avec tous les navigateurs
-aussi sécurisé que les cookies (ils sont tous 2 touchés par les failles XSS)
2 mai 2003 à 01:12
1 mai 2003 à 12:59
A moins d'une faille PHP
sinon vous en pensez quoi ?? :)
(mise a jour du titre, qui de plus ne veut rien dire lol)
1 mai 2003 à 12:04
1 mai 2003 à 11:43