SECURISER UN SITE PAR SESSION ET CODAGE DU PASS ENVOYÉ

cs_Nebraska Messages postés 13 Date d'inscription jeudi 10 juin 2004 Statut Membre Dernière intervention 13 octobre 2004 - 23 juin 2004 à 02:33
linstruiseur Messages postés 6 Date d'inscription samedi 15 février 2003 Statut Membre Dernière intervention 13 mars 2006 - 7 mars 2005 à 08:31

Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/23926-securiser-un-site-par-session-et-codage-du-pass-envoye

linstruiseur Messages postés 6 Date d'inscription samedi 15 février 2003 Statut Membre Dernière intervention 13 mars 2006
7 mars 2005 à 08:31

il est beaucoup plus simple de piraté un site que de le construire, moi, je suis le premier particulier à avoir déposé plainte contre piratage.

J'ai trouvé une solution très très simple, et là, tout les petits cons de pirates du dimanche peuvent se lever et courir et loin en plus, car mon fichier "admin.php" n'existe plus dès que je fait mes mises à jours, et là, les cocos du dimanche, ben que dalle, ils sont fort simplement en appliquant un programme qu'un informaticien verreux a mis à disposition.
Si c'est cela faire de l'informatique, excusez moi du peut, mettez vous au tricot ou éviter plutôt vous risqueriez de vous croeuver les yeux.
A bon entendeur .....

jdeboer Messages postés 254 Date d'inscription mardi 25 mars 2003 Statut Membre Dernière intervention 4 février 2006
26 janv. 2005 à 16:25

C clair revinc, au lieu de te la peter, propose une source corrige.

cs_emilia123 Messages postés 122 Date d'inscription mercredi 19 décembre 2001 Statut Membre Dernière intervention 5 janvier 2009
14 sept. 2004 à 01:09

trés trés constructif comme message..
quel est l'interet d'un tel message.
si tu prend des cours et que le prof te traite juste d'abruti..
soit tu le tarte soit tu le prend pour une merde et tu l'écoute pas... je pense pas que tu soit comme ca (revinc)..
alors soyons constructif.. et présentons les problémes rencontrés dans une sources..
c'est comme ca qu'on évolue en groupe..
bonne soirée à tous.

revinc Messages postés 385 Date d'inscription mardi 15 octobre 2002 Statut Membre Dernière intervention 19 décembre 2017
23 juin 2004 à 12:47

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger.
A moins que magic_quotes_gpc soit à 1 dans php.ini. Correction donc : ton système à 50% de chances de pouvoir être hacké (dépend de la configuration du serveur).

revinc Messages postés 385 Date d'inscription mardi 15 octobre 2002 Statut Membre Dernière intervention 19 décembre 2017
23 juin 2004 à 12:42

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger

cs_Nebraska Messages postés 13 Date d'inscription jeudi 10 juin 2004 Statut Membre Dernière intervention 13 octobre 2004
23 juin 2004 à 12:39

hum quand je disais ètre ouvert a la critique, c'était plus du genre : ouais la y'a une faille, pour que je la corrige, pas qu'on me dise 'ouais j'te hack en 2minutes'.
Sinon pour la date, l'idée était de ne pas faire transiter le trop d'info vers le client; de toute façon il faudra que la personne qui récupère le pass soit aussi sur la mème ip... quoique je ne sais pas si l'ip obtenue en php dépend des en-tètes ou de l'ip réel... Le problème si on prend une valeur qui change toutes les secondes apparait avec les connexions lentes ou du coup le serveur et le client n'aurait plus la mème valeur a rajouter au pass; pour éviter ça on peut bien sur envoyer une valeur au client qui l'ajoutera au pass, mais la le problème c'est que si un hacker tombe sur la requète qui revient au serveur, il aura le pass codé mais aussi le morceau ajouté au pass; il lui suffira de renvoyer a son tour les 2 info pour que le serveur croie avoir un client valide en face de lui

... et pour info, l'utilisation d'une base sql n'a rien d'obligatoire, c'était un exemple de comment stocker des pass, tu peux le faire comme tu veux

revinc Messages postés 385 Date d'inscription mardi 15 octobre 2002 Statut Membre Dernière intervention 19 décembre 2017
23 juin 2004 à 12:12

L'idée est peut être bonne, mais bravo pour la sécurité de l'espace admin. File moi l'adresse de ton site et je te hacke ça en 2 secondes. En regardant tes sources, il y a matière à une bonne douzaine d'injections SQL...

cs_kalachnikov Messages postés 16 Date d'inscription samedi 5 juin 2004 Statut Membre Dernière intervention 23 juin 2004
23 juin 2004 à 11:52

si y a que le jour qui change, alors le mot de passe haché est valable toute la journée(largement suffisant pour un pirate pour aller se logguer).
L'idée est bonne, mais il faut que la date change toutes les secondes(le serveur n a pas besoin de générer ou créer quoique ce soit), ou alors générer un nombre aléatoire assez grand côté client.
Le serveur recoit juste 2 infos, le haché+le_complément(date avec seconde ou nombre aléatoire).
apres il hache le mot de passe recup en bdd + le complément de son côté et compare.

cs_Nebraska Messages postés 13 Date d'inscription jeudi 10 juin 2004 Statut Membre Dernière intervention 13 octobre 2004
23 juin 2004 à 02:33

au fait, comme indiqué c'est ma première source php déposé ici, je suis ouvert a la critique :)
(au fait, le fichier mysql_i.inc que j'ai mis sert pour pouvoir tester rapidemment, mais je le trouve assez pratique pour ètre utilisé seul :p)

Discussions similaires

Rendre mon site modifiable par l'utilisateur

ouvrir une seul session

Création d'un compte Admin

Sécuriser l'authentification avec session

Contacts d'un utilisateur

Votre réponse

Discussions similaires