PROTÉGER UNE PAGE DONT L'ACCÈS EST RESTREINT EN LA FAISANT VIRTUELLE ET INEXISTA
pysco68
Messages postés
681
Date d'inscription
samedi 26 février 2005
Statut
Membre
Dernière intervention
21 août 2014
-
2 sept. 2008 à 20:44
codefalse Messages postés 1123 Date d'inscription mardi 8 janvier 2002 Statut Modérateur Dernière intervention 21 avril 2009 - 3 sept. 2008 à 20:29
codefalse Messages postés 1123 Date d'inscription mardi 8 janvier 2002 Statut Modérateur Dernière intervention 21 avril 2009 - 3 sept. 2008 à 20:29
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.
https://codes-sources.commentcamarche.net/source/47854-proteger-une-page-dont-l-acces-est-restreint-en-la-faisant-virtuelle-et-inexistante
https://codes-sources.commentcamarche.net/source/47854-proteger-une-page-dont-l-acces-est-restreint-en-la-faisant-virtuelle-et-inexistante
3 sept. 2008 à 20:29
3 sept. 2008 à 20:07
3 sept. 2008 à 20:02
Pour moi celui-ci a le droit à une belle place dans le Top10 xD
Allé, trêve de blaguerie,
P.S.: le site qui 'Ce site est un site de pages personnelles. Néanmoins, il intègre les dernières technologies actuelles,
et je me suis efforcé de rendre celui-ci dynamique, attrayant et ayant un look quasi "professionnel".' ne tiens pas grand chose de ses promesses...
Pour ce remédier:
- Avant Browser prétends être le meilleur Navigateur du marché... un autre l'est (je laisse la discution de coté...) mais c'est surement pas un Fork/Frontend IE qui va gagner la course....
- éviter d'utiliser Frontpage (4.0...) pour faire un site.... ou du moins son design...
- éviter les boutons images très ****** (ça comment par "m" et ce n'est qu'un adjectif qualifiant la beuatée de ces derniers)
- éviter des mentions légales comme "Le Design, les Articles et Commentaires de ce Site sont © 2008 BlueMan Reproduction interdite - Tous droits réservés."... surtout la mention "Design" est environ inutile... pourquoi copier si on trouve meiux sans problèes légaux cf: http://www.openwebdesign.org/
- à ce propos à-tu des droits de diffusion pour le trailer Wall-e? ^^ (désolé...)
- éviter la vanité...
- éviter des liens vers des pages inexistantes...
- éviter plein plein de choses...........
Bref j'en passe... quand à ton algo... je crois de plus en plus que c'est une belle invention... je veux dire que beaucoup de fakes exsitent à ce propos... et sans aucune preuve technique fini la crédibilité... et la présentation du tout laisse aussi manquer de crédibilité.... sans compter le fait qu'on ne te trouve pas sur google (sauf en tappant "blueman" directement.... bref là aussi un grand manque de crédibilité.....
Bonne hance pour ton projet de brevetage international... j'espère pour toi que l'investition aura valu le coup...
3 sept. 2008 à 19:33
Bon ce qui est grave dans la situation c'est le manque d'humilité de bluemandfr qui se dit expert en sécurité et qui ne connait pas grand chose du piratage de serveur... C'est vraiment comique... Bon je ne note pas car je ne post pas de code alors je ne me permettrais pas de le faire. Mais sinon je suis d'accord pour 1/2 mais bon je ne le fais pas. et pour cause :-()
3 sept. 2008 à 19:06
Au fait, le deux, c'est pas pour la source qui en elle même ne mérite même pas 1/10 mais parce que je me suis bien marré et que ça m'as mis de bonne humeur lol !
Je doit avoué que coucou747 est une forte tête lol !
a++
3 sept. 2008 à 18:57
bluemandfr s'envoie des fleurs à chaque phrase qu'il écrit, rabaisse ses homologues pourtant bien plus sérieux/fiable/intelligent/mature (rayez la mention inutile) que lui. Son site ne peut être qu'un fake (et si c'est pas le cas tant pis, je préfère me conforter dans cette idée qu'imaginer qu'une telle chose existe). Il se dit expert en cryptologie mais il ne connait pas htaccess d'Apache... Quand à son algo, une belle invention, on l'avait compris.
C'est à croire qu'il n'a que ça à faire que défendre l'indéfendable, son code est immonde, pas du tout optimisé, et tout à fait inutile. Il ne compte que sur la longueur de l'URL, il sort le grand jeu avec ses calculs plein de décimales et de gros exposants histoire d'avoir le kikitoudur, qui ne servent strictement à rien puisque le problème c'est pas ça mais le concept, qui est moisi.
Bref, j'ai bien rigolé. Surtout que coucou747, c'est quelque chose.
3 sept. 2008 à 18:48
Cette source ne peut qu'induire les débutants ou amateur en erreur...
Et j'avais oublié de noter...
a++
PS : faite également une review de l'autre code de blueman (comme ça on fait d'une pierre deux coup)...
3 sept. 2008 à 18:45
3 sept. 2008 à 18:44
Par contre on devrai garder la discution, elle est trop forte xD !
a++
3 sept. 2008 à 18:42
nan allé!! "SUPPR"
3 sept. 2008 à 18:40
C'est bien d'ailleurs uniquement pour ca que j'ai pas supprimé la source :p
Bon, histoire de pas perpétrer un "de toute façon les admins ça se prends pour des dieu", je vais demander aux participant motivés ceux qui sont pour la suppression de ce code. S'il y a plus de 50 % ...
Si vous êtes contre, donnez vos avis, ça peux peser sur le choix des autres !
@Bluemandfr, ton avis est aussi le bienvenu.
3 sept. 2008 à 18:25
3 sept. 2008 à 18:22
C'est trop fort !
J'ai jamais vu ça...
Et puis puisqu'on parle de l'auteur, le deuxième script n'est pas mieux...
J'adore, sérieu c'est contradictoire, on est censé caché le texte dans une image mais avant de le mettre dans l'image il est visible...
Le pire c'est que l'auteur est tellement obstiné, qu'il ne se rend même pas compte que ses scripts ne sont pas aussi sécurisé qu'il le dit voir pas du tout...
a++
3 sept. 2008 à 18:14
toi tu les hashes quand ils sont encore dans l'oeuf, avant meme la naissance du password, il est DEJA hashe ! comme ca si t'as une webcam allumee qui zoome sur ton clavier, elle ne peut PAS lire le password !!!
3 sept. 2008 à 18:07
J'ai juste envie de dire LOL à cette conversation...
Alors voilà :
LOL
P.S. : dire que j'ai raté ça...
3 sept. 2008 à 18:02
bon ok, il hache en javascript (ce qui deja force le sourire)
mais crypter en javascript, ca force le crachat au visage (tu peux tendre l'autre joue si t'en veux un second)
3 sept. 2008 à 18:01
Merci
3 sept. 2008 à 17:52
Franchement, j'ai autre chose à faire... et je suis pas prêt de remettre du code ici...
Quand à mon super-algo, vous attendrez Messieurs que j'en ai déposé le brevet mondial pour savoir de quoi il retourne.
A+
BlueMan
3 sept. 2008 à 17:51
3 sept. 2008 à 17:50
j'ai mordu tes deux mains, t'as plus qu'a tendre les pieds.
3 sept. 2008 à 17:48
3 sept. 2008 à 17:48
Les données sont HASHÉES et CRYPTÉES puis le SUBMIT a lieu !!!! C dingue !!! LISEZ mes explications !
3 sept. 2008 à 17:48
(Pysco68: le hash se fait en javascript coté client)
Mais par contre tu à totalement faux dans la 5 étape !!
Toi qui est tant à cran au niveau sécurité, tu devrait pourtant le savoir non ?
Si je suis ton ennemi (...), je sniffe le réseau entre ton visiteur et ton serveur.
Je devrais donc voir passer le hash du password n'est-ce pas ?
Alors je le récupère, et j'ai plus qu'à me créer une petite page avec un form submit="VerifiePW.php" et comme valeur je lui met juste le hash et HOP ! à moi la page secrete !! :)
Donc encore une fois, si ca fait 29 ans que tu fait de la sécurité informatique, je plains ton serveur ...
3 sept. 2008 à 17:46
1) Visiteur va vers SaisieMotDePasse.php il reçois un <form>
2) il saisis ces données en clair... et quand il appuie sur envoyer elles sont envoyées en clair vers le serveur (là est la faille) où elles sont hachées... la suite on la connais...
3 sept. 2008 à 17:43
Le fait d'enyoyer le H crypté NE PERMET PAS DE RETROUVER LE MOT DE PASSE.
On ne peut retrouver un mot de passe aléatoire à partir de son HASH (on suppose que la fonction de hashage est sure).
3 sept. 2008 à 17:40
T'a(vais) vraiment rien compris....
3 sept. 2008 à 17:39
Procédons par étape numérotée et dites moi ou vous n'êtes d'accord et surtout POURQUOI :
1) La personne sasit le PW en clair
2) Je le HASH : H = Hash(PW)
3) Je fait un POST de H en appelant "VerifiePW.php"
4) Dans "VerifiePW.php", je recois H
5) si H = HStocké alors LoadVirtuaPage("ma page secrète.htm")
C'est simple !
Ou est pour vous le problème ???
3 sept. 2008 à 17:35
3 sept. 2008 à 17:34
3 sept. 2008 à 17:34
3 sept. 2008 à 17:33
en shéma:
|----SaisieMotDePasse.php----|
|
| l'utilisteur entre les
| données de connexion
| et clique "envoyer"
|
| le <form> pointe vers
| VerifCode.php
|----------------------------|
||||||||||
|||HTTP|||
\\\\\/////
\\\\////
------
VerfiCode.php?user=nom_dutilisateur_en_clair&mpd=mdp_en_clair
et ça marche toujours comme ça.... sauf si tu crypte déja coté client.... et ça tu peux le faire qu'avec du javascript.... ou bien avec https et un certificat (100€ à l'année en moyenne...)
3 sept. 2008 à 17:33
... monsieur l'expert ...
3 sept. 2008 à 17:32
HASH reçu par POST == HASH stocké dans la page ou sur une BDD.
3 sept. 2008 à 17:29
Côté php, quand tu recoit le mot de passe hashé, tu le compare dans la base de donnée c'est bien ca ?
Donc si je sniffe ton réseau, et que je récupère le mot de passe hashé, je peux me connecter sur ton site ...
3 sept. 2008 à 17:27
Ce ne sont pas les données en clair que je transmet, ca fait 3 fois que je vous l'explique ! Je transmet le HASH ou le HASH CRYPTÉ du mot de passe. Donc en sniffant, l'Ennemi NE VOIT PAS le mot de passe, il voit le HASH et il ne peut rien en faire... De plus en donnant un mot de passe d'au moins 20 caractères tous aléatoires, cela INTERDIT à l'Enemi les attaques par dictionnaire. Je m'explique : si tu donnes à l'utiliateur le mot de passe "maman", on peut grâce à des dictionnaires établir une correpondance entre le HASH et le mot de passe, et donc retrouver le mot de passe. Mais si tu donnes un mot de passe de style "sH76L_2JgSDw0J6SjsWh", là l'Ennemi n'a aucun moyen de déterminer à partit du HASH quel est le mot de passe qui l'a engendré.
Capito ?
BlueMan.
3 sept. 2008 à 17:22
si c'est une page php, alors desole de te l'apprendre, mais php s'execute sur ton serveur, et donc, entre un client et un serveur, t'as un cable reseau (au moins) et on peut donc sniffer entre les deux... et magique, la, ce qu'on sniffe, c'est en clair...
3 sept. 2008 à 17:20
donc les argument de coucou747 sont plus que justes.... admet que tu a tors, au moins sur ce point là...
3 sept. 2008 à 17:18
je crois que tu n'a pas compris comment se déroule un transfert HTTP....
3 sept. 2008 à 17:17
Je pense que tu as mal lu mes explications. Tu dis :
- entre ton formulaire et ton php, tu peux sniffer le reseau, ton argument est donc faux
C'est justement pour cette raison qu'on envoie pas le mot de passe saisi, mais seulement le resultat du hashage du mot de passe. Et en plus, on crypte le resultat pour que, même par un sniffage, l'Ennemi ne puisse accéder au résultat.
-ta premiere page php ne sert a rien, elle ne fait "que" hacher le password, chose que la seconde page aurait pu directement faire...
Ben non justement. En faisant comme tu l'écris, le mot de passe saisi passe en clair sur le net : l'Ennemi n'a qu'à sniffer pour le connaître, alors qu'avec ma méthode l'Ennemi ne peut rien faire...
Je ne comprends toujours pas pourquoi tu me fais des réponses pareilles. C'est à croire que tu ne comprends ce que je tente de t'expliquer depuis plus d'une heure, ou bien, c'est quetu lit trop vite les explications gens sans tenter d'en comprendre le sens profond.
J'espère désormais que tu as compris que les 2 arguments que tu viens de m'envoyer sont faux, et pourquoi ils sont faux.
A+
BlueMan.
3 sept. 2008 à 17:09
on t'a explique comment enrichir ta source, la corriger, la rendre meilleur, mais tu n'as pas voulu nous ecouter...
si je te mords la main droite, tu me tends la gauche, alors je la mords aussi :
-entre ton formulaire et ton php, tu peux sniffer le reseau, ton argument est donc faux
-ta premiere page php ne sert a rien, elle ne fait "que" hacher le password, chose que la seconde page aurait pu directement faire...
ayant refute tes deux principaux arguments, je pense qu'on peut s'accorder pour dire : ta source n'apporte rien de plus qu'un .htaccess ou qu'un systeme par $_SESSION.
3 sept. 2008 à 17:06
Bon maintenant gamineries mises de coté, moi ça m'interesserais vraimment en quoi consiste ton "super-algo"...
BOnne journée!
3 sept. 2008 à 17:02
@Coucou, tu devrais adorer ! :)
3 sept. 2008 à 17:01
Dire de quelqu'un "qu'il est mauvais", sans même présenter un argument quelconque, ou une explication, une réponse à caractère technique, traduit, accuse, tout simplement de méchanceté, de la haine, bref de la bêtise la plus sombre.
"Vous les reconnaîtrez à leurs fruits." Jésus le Christ.
Car nous ne sommes pas là pour nous insulter ou émettre des avis "à l'emporte pièce" sur les uns et les autres mais pour PARTAGER, ÉCHANGER et S'ENRICHIR MUTUELLEMENT de nos compétences différentes et forcément complémentaires.
Je regrette que, malgré le fait de te tendre la main pour t'expliquer comment je procédais, et selon ta requête même, tu te sois contenter de mordre cette main tendue.
A+
BlueMan.
3 sept. 2008 à 17:00
T'est un fake ^^
Tu t'ennuyait aujourd'hui ? :D
3 sept. 2008 à 16:58
3 sept. 2008 à 16:57
3 sept. 2008 à 16:53
donc hormis si tu t'amuse à mettre en place une certification https... car sinon même tes données postées par HTTP sont tout simplement lisibles....
bref....
quand à l'évaluation de "ma petite fonction qui est géniale".... laisse nous notre propre avis s'il-te-plaît (ou pas au pire...)
bon en attendant je pense que je vais aller faire un tours sur ton site.... qui sais, peut-être que je trouve une petite faille chez notre nouveau spécialiste de sécurité....
sur ce, bonne journée!
3 sept. 2008 à 16:49
3 sept. 2008 à 16:37
Voici comment je procède :
Je créée les 2 pages suivantes :
- SaisieMotDePasse.php : elle demande son mot de passe à l'utilisateur, et envoie par un POST le MD5 ou le SHA256 crypté du mot de passe (on peut utiliser toute autre fonction de hashage dont on vérifié mathématiquement qu'elle est sure) vers la page suivante :
- VerifieCode.php : qui stocke dans son source (ou sur une base de données si on le veut) le ou les MD5 / SHA256 des mots de passe, et vérifie ainsi la conformité des mots de passe par une comparaison des résultats des fonctions de hashage. Jamais les mots de passe ne doivent apparaître dans les sources ou dans la base de données. Seules les résultats des fonctions de hashage sont stockés, et on peut, de plus, les crypter également pour davavantage de sécurité. Si le mot de passe est correct alors le source de cette page invoque la page secrete par :
LoadVirtualPage("Secrete_A6hY2_857kGeOm4p0QoNHE6D2oJPA5KqPam8Imal7AhFIUHuISSuqJAijAGHFSyNDJDU.htm");
Voilà.
Cela permet de tester le ou les mots de passe sans jamais les dévoiler dans aucun des sources PHP, de les transmettre cryptés pour éviter le sniffing des trames par l'Ennemi, puis de retourner la page secrète en toute sécurité, comme je l'ai déjà expliqué.
Quand à .htaccess, c'est une technique que je ne connaissais pas et un point demeure : lors de l'envoi du UserName et du mot de passe par cette technique, les données sont-elles cryptées ou hashées ? Parce-que dans le cas ou la méthode .htaccess ne le feraient pas, alors htaccess ne vaudrait absolument rien d'un poit de vue de la sécurité. En cryptographie, il faut toujours partir des principes suivants, ne l'oubliez jamais quand vous deéveloppez des controles d'accès et des crryptages :
- L'ennemi connait votre algorythme
- L'ennemi sniffe les échanges entre l'émetteur et le receveur pendant 100% du temps.
Voilà, j'espère que désormais tu as compris le fonctionnement de ma petite fonction qui est géniale (même si vous pensez le contraire).
A+
BlueMan.
3 sept. 2008 à 16:10
Ta fonction, tu la met ou ?
Parce que d'après ce que j'ai compris, ca donnerai cela
page access.php
<?php
if ($user_access === true) {
LoadVirtualPage ('securite.html');
}
?>
C'est ca ?
3 sept. 2008 à 16:05
Je vais même pas faire l'effort de relever ton commentaire, @Bluemandfr, je pense que tes mots le font pour moi.
Juste indiquer que, même si ça parrait évident (en tout cas pour moi :p), je n'ai pas descendus ton script en disant "c'est tout pourri, et pis t'es nul !". J'ai argumenté et donné mon point de vue.
A propos de ma note (2), je l'ai attribuée d'une manière un peu plus compliquée que juste des exceptions. J'ai été vite sur ce coup là. Je vais tenter de m'expliquer.
J'ai tout d'abord pris le nombre de secondes qu'il y avait depuis la date de création de l'univers, soit quelque chose genre 16^(x*y). J'ai multiplié le tout par le nombre d'occurence du charactère $ (qui est, cela dit en passant, le caractère permetant à la terre de tourner dans son bon sens ; d'où le rapport avec les secondes depuis la création de l'univers ... c'est logique !).
A cela j'ai divisé le tout par le nombre de possibilité qu'offre ton code si on prends la génération de page en y passant la table ascii entière.
Le résultat était 2.
Si vous n'avez pas compris c'est pas grave, je suis un expert en mathématique, c'est pour ca ...
3 sept. 2008 à 15:47
j'aime pas le sang, et je suis ni violent ni mechant... je constate juste... jvais pas offrir des fleurs a un code que j'aime pas, mais si tu regardes bien mes posts, c'est hyper rare que j'insulte qqn (sur codes-sources en tout cas...)
3 sept. 2008 à 15:37
bon pour commencer je dois déplorer ton extrême arrogance... qui déjà mérite de ma part (si je me permets de raisonner comme toi en addition de note...) un petit -2...
après soir le fait de donner un nom hyper long à un fichier pour le rendre "introuvable" par essai -soit- pourquoi pas simplement mettre tous ces fichiers, avec un nom très lisible pour que celui qui maintiens le site puisse le maintenir simplement, dans un dossier... mettre un petit .htaccess avec comme seule ligne: 'deny from all'... après un petit script qui vérifie si le mot de passe/identifiants sont bon et qui lis (readfile() ou autre...) le fichier dans ce dossier....
donc:
- bookmark où pas c'est bon avec ce système
- beaucoup moins d'OP disque c'est TOUJOURS mieux, google ou pas...
- si proprement fait, pas de bug de header....
- bien plus simple...
quand à ton algo, ben ça m'intéresse autant que coucou747...
Généralement je suis pas fan de "descendre les gens" mais bon... je pense que CodeFalse n'a que dit du vrai... même si d'une approche un peux théorique... mais ta manière hautaine est tout autre qu'admirable...
La fonction commentaire est là pour permettre aux gens de donner leurs avis sur une source... et les gens qui en postent une devraient - je dis bien devraient - accepter ce qu'on leurs dit...
Quand à la sureté, bien j'espère que ton mot de passe FTP est au moins aussi long que le nom que tu donne aléatoirement à tes fichiers... parce que un soit-disant expert de la sécurité (c'est ce que j'ai cru comprendre de toi...) devrait le savoir mieux que tous les autres.... un système n'est qu'aussi sur que son plus faible composant... (ça s'applique a ma proposition aussi...).... mais je pense que si quelqu'un avais la balle idée d'accéder à ton FTP par effraction, ben les fichier protégés par ce script bien plus compliqué que nécessaire ne serraient pas à l'abri....
bref... ce matin il y a eu un bug avec la notation.... je crois que je vais revenir sur mon avis... comme dit...
5 - 2 = 3...
Bonne suite, et évite l'arrogance!
3 sept. 2008 à 14:27
ensuite, ton systeme pue compare a un htaccess ou un systeme par $_SESSION (pour ces deux systemes, tu prends tout les avantages sans les inconveniants...)
les inconveniants de ton systeme :
si tu rends ton script open source, alors c'est pas valable...
tu fais une copie inutile de ton fichier.
si le type a de la chance, il passe la protection.
ton header me tue mon charset, ton readfile et ton unlink ne servent a rien, et tu peux tres bien appliquer directement le readfile sans meme faire la copie...
donc sur le principe, ton truc est debile, ne marche pas et ne sert a rien...
maintenant, pour ces questions de crypto, si tu pouvais nous dire ce que t'as fait de mieux que RSA, et en quoi ca consiste, ca m'interesse...
3 sept. 2008 à 14:08
Concernant ma fonction LoadVirtualPage($OriginalPageName), je constate avec effarement, et un peu de tristesse, que comme hélas beaucoup de terricoles, vous théorisez et critiquez beaucoup, mais que vous comprenez peu...
Explication de l’astuce :
=======================
Lorsqu’on invoque LoadVirtualPage("Secrete_a … n.htm"), la fonction créée une nouvelle page identique à "Secrete_a … n.htm" mais dont le nom est TOTALEMENT DIFFÉRENT et ALÉATOIRE : "VIRTUAL_i … j.htm", puis la renvoie au Client avant de la détruire.
Donc, à supposer que le Client (qui est un Hacker) qui a bookmarqué la page reçue, ou quand bien même qui surveillerait les BroadCasts du réseau et les trames échangées, afin de déterminer ainsi le nom de la page envoyée et qui est "VIRTUAL_i … j.htm", il lui serait RADICALEMENT IMPOSSIBLE de déterminer le nom d’origine de la vraie page, et par conséquent, de l’invoquer à nouveau sans passer par le contrôle d’accès par mot de passe.
À propos des 2 critiques de CodeBase :
====================================
Concernant les principes de Kerckhoffs et autre, je te remercie CodeBase, mais je m’intéresse à la cryptographie depuis plus de 15 ans, et ai même développé un algorithme capable de vaincre les attaques de n’importe quelle agence gouvernementale, comme la NSA (contrairement à PGP qui est dit « transparent » par le milieu du renseignement). Tout cela pour dire que la cryptographie, ça me connaît (je suis désolé pour toi CodeBase, mais je ne t'en veux pas, tu ne pouvait pas savoir cela…). Ainsi, contrairement à ce que tu pense, ma toute petite fonction et mon idée sont plus que valables, bien au delà de ce que tu crois. Et voici pourquoi :
En attribuant à la page secrète un nom aléatoire comme suit :
Secrete_A6hY2_857kGeOm4p0QoNHE6D2oJPA5KqPam8Imal7AhFIUHuISSuqJAijAGHFSyNDJDU.htm
Le nombre de combinaisons Nc à essayer pour être certain de trouver le nom de la page est :
(Nombre de possibilités pour un caractère Np) à la puissance (nombre de caractère Nc)
avec ici Np 26+26+10 62 (pour A..Z, a..z, 0-9) et Nc = 62 (le nombre de caractères aléatoires dans le nom de la page)(ici, c’est accidentel : Np = Nc, mais cela n’a pas d’importance). D’où :
Nc 62 puissance 62 1,343645645152250046583026779323e+111 (ce qui est beaucoup, mais alors beaucoup, beaucoup...).
Beaucoup comment ?
À supposer que tu effectue 1 milliard de requêtes par seconde sur le serveur (ce qui est impensable, absolument irréaliste), à essayer de trouver le vrai nom de la page secrète, il te faudra le temps :
Ta = Nc / (1 milliard * 3600 * 24 *365 ) années de calcul 24h/24 soit :
Ta = 1,343645645152250046583026779323e+111 / (1 milliard * 3600 * 24 *365 ) soit :
Ta = 4,2606723907669014668411554392535e+94 années !!!
Cela qui correspond "environ" à dix fois la durée de la vie du système solaire, Arff !!!
Bonne chance !!! ;))))
Et même si tu était capable d’effectuer 1 milliard * 1 milliard * 1 milliard * 1 milliard de requêtes sur le serveur pour trouver le vrai nom de la page secrète, il te faudrait encore :
4,2606723907669014668411554392536e+67 années !!!!
Ça-y-est, tu commences à comprendre ?
Conclusion 1 :
--------------------
Mon système est largement assez sûr compte tenu du degré de confidentialité de notre page secrète, qui ne conserve pas de secrets d’état (mais même si cela était le cas, sache que mon système est TRÈS TRÈS SÛR ; consulte un expert en cryptographie autre que moi, il te le confirmera…). Et non seulement il est ultra-sûr, mais si tu es de nature paranoïaque, rien ne t’empêche de rajouter 10 caractères aléatoires supplémentaires au nom de ta page…, et aussi dans la fonction, comme je l’ai suggéré dans mon explication !
Concernant ton deuxième argument :
================================
« Ta méthode n'est absolument pas valable. Tu fait une copie en dur de ton fichier existant, juste pour simuler une page. Imagine maintenant que tu as 150.000 visiteurs par secondes. Ton serveur ne tiendra pas. »
CodeBase, tu comment là une double erreur :
1) Tu nie les faits, et les faits sont la vérité : ma solution est valable, puisque je l’ai déjà implémenté et qu’elle marche…
2) Invoquer comme argument le prétexte de la venue de « 150.000 visiteurs par secondes » dénote, de ta part, une approche purement intellectuelle, théorique, et absolutiste, en plus d’utiliser des données ayant une amplitude ultra-excessive : avoir 150.000 visiteurs qui, au même moment, ont tapé le bon code et appuient sur entrée, est une situation QUE TU NE VERRAS JAMAIS PAR TOI MÊME dans LA VRAIE VIE. À moins que tu travaille chez Google, la situation que tu décris est irréaliste, extrême, et décalée avec la réalité.
À cela, il faut ajouter que les serveurs sur lesquels j’ai implémenté cette fonction , sont de petits serveurs : pages personnelles, associations, etc.
Conclusion 2 :
--------------
Ton approche purement intellectuelle et théorique te fait oublier le concret, le réel, la vraie vie, et te pousse à utiliser, malgré toi, des arguments extrêmes, irréalistes et de mauvaise foi.
Conclusion finale :
=================
Comme je l’ai expliqué, ma petite fonction permet de construire un système simplement, sans avoir à utiliser le mécanismes des Sessions : c'est direct et rapide !
Comme je l’ai démontré dans les chiffres, mon système est absolument sûr.
Comme je l’ai démontré dans les faits, mon système fonctionne.
C’est pourquoi, malgré vos critiques acerbes et infondées, je mérite donc bien d'avoir au moins la moyenne : 5 (note que m’a d’ailleurs attribué Psyco68).
Toi, CodeBase, tu m’attribue 2 parce-que j’utilise les exceptions (quand à ma fonction et mon astuce, cela signifie que tu les valorisais à 0).
On en déduit donc (c’est ironique non ?) la note finale que je mérite : 5 + 2 = 7.
Merci donc de m’attribuer une note de 7 !
BlueMan.
3 sept. 2008 à 12:45
3 sept. 2008 à 09:34
Le truc en relisant le code, c'est que je ne vois pas ou il map l'url avec le vrai fichier.
Si tu fait
LoadVirtualPage("Secrete_A6hY2_857kGeOm4p0QoNHE6D2oJPA5KqPam8Imal7AhFIUHuISSuqJAijAGHFSyNDJDU.htm");
Ou est-ce que tu indique que c'est la page "secrete.html" qui sera affichée ?
Parce que là d'après ce que j'ai compris au code, tu appele la fonction avec un vrai fichier, la fonction va créer une copie en dur du vrai fichier sous un nom illisible, et afficher ce fichier.
Au final, il faudra toujours accéder à la page "display.php" (celle qui appele cette fonction), pour afficher ta fausse page. Alors au lieu de charger une page bidon en copiant son contenu, pourquoi ne pas faire un include de "securite.html" si le gars à les permissions ?
Non, là, vraiment, je vois pas !
3 sept. 2008 à 06:19
sinon, codefalse, on peut considerer ici que le nom du fichier est justement la clef qui permet d'acceder a son contenu.
3 sept. 2008 à 00:16
Tu devrait jeter un oeil du côté des principes de Kerckhoffs.
Notament le fait qu'un bon algorithme doit être publique, et la/les clées gardées dans le plus grand secret. La force de la protection doit résider uniquement dans le secret de la clé.
Voir: http://fr.wikipedia.org/wiki/Principe_de_Kerckhoffs
Ta méthode n'est absolument pas valable. Tu fait une copie en dur de ton fichier existant, juste pour simuler une page. Imagine maintenant que tu as 150.000 visiteurs par secondes. Ton serveur ne tiendra pas.
Comme l'a très bien indiqué Pysco68, préfère l'utilisation des sessions ou joue avec les .htaccess, tu aura une meilleure flexibilité et une performance non comparable à ta méthode.
Je te met 2 parce que tu lance des exceptions
2 sept. 2008 à 20:44
Je veux dire à partir du moment où on a PHP on peut se permettre de créer quelques petites sessions, ça évite de devoir faire des "magouilles" avec des fichiers....
et tu va me dire, rien n'empêche ces gens à sauvegarder la page sur leurs disque....
et puisque de toute façon tu charge les pages depuis le disque, les gens ne voient pas l'adresse physique sur le serveur..... et pour le coup du "50% plus sur" un petit .htaccess....
Bref, de moi 5/10 pour les commentaires....
Bonne soirée!