cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007
-
21 sept. 2006 à 17:02
cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007
-
23 sept. 2006 à 13:56
Salut, je suis à la recherche de méthode de programmation pour protéger mon site web. En cherchant un peu, je suis tombé sur un sujet parlant de plein de faille possible sur ce forum. J'ai d'ailleur, très peu compris le tuto que l'on peut t trouver.
Je vais donc tenter de trouver une explication claire en vous demandant de traduire ceci :
citation :
La redirection ? Pas une solution. Par Juliian
Lorsque vous mettez à la disposition de vos membres un acces privé, ces derniers doivent se connecter, une personne mal intentionnée peut tout de même accéder à vos espaces protégés si la seule protection est la redirection automatique, quels genre de codes sont infectés ?
If ($password != "Pouletgrille") { print'
Exemple : <meta name="robots" content="index, follow"> '; }
Pourquoi? Que va il se passer quand le "piratin" va rentrer un mauvais mot depasse ? Il va arriver sur votre page protégée, et va être aussitôt redirigé vers une page d'erreur, et c'est là l'erreur : Le visiteur pourra toujours bloquer son navigateur, ou enregistrer votre page, et il vera l'intégralité de votre espace "protégé", et pourra y accomplir ses méfaits.
Comment y remédier ? C'est simple, il faut de toute façon que le contenu de votre espace protégé n'apparaisse jamais sur la page de vos visiteurs, même pas une micro-seconde, le moyen le plus simple de réparer ce problème est d'agir comme suit :
If($password != "Pouletgrille") { Print'Insérez ici le contenu de votre section admin'; } else { print'Erreur de connexion !'; }
malalam
Messages postés10839Date d'inscriptionlundi 24 février 2003StatutMembreDernière intervention 2 mars 201025 21 sept. 2006 à 21:57
Hello,
je pense qu'il parlait de la génération de la page.
En gros :
if (mauvais login) {
header (vers une page d'erreur);
}
// génération de la page.
ça, ça va, parce que c'est une redirection php, et que le php s'exécute avant le html (ou le js).
mais :
if (mauvais login) {
echo redirection html ou javascript
}
// génération de la page
y a pas bon. La redirection et le html de ta page vont se générer peu ou prou en même temps.
24Karas
Messages postés233Date d'inscriptionjeudi 4 juillet 2002StatutMembreDernière intervention 5 juillet 2008 22 sept. 2006 à 13:49
pour faire bref :
// à faire : redirection en php
------------
la redirection en php se fait au niveau du serveur, donc avant que le browser reçoive les infos, donc le visiteur n'aura pas le code de la page si le mot de passe est invalide. il aura le code de la page redirigé
à pas faire : redirection en html/js
-------------
La redirection se fait au niveau du navigateur en html/javascript donc le visiteur a déjà reçu le code de la page quand la redirection aura lieu.
24Karas
Messages postés233Date d'inscriptionjeudi 4 juillet 2002StatutMembreDernière intervention 5 juillet 2008 21 sept. 2006 à 17:33
Je ne sais pas d'où viens cette citation mais c'est complétement bidon.
Il est tout à fait logique de n'écrire le contenu de ta page que si le mot de passe est validé.
Il n'y a aucun point de sécurité là dedans, ou bien je n'ai pas saisie la subtilité.
cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007 21 sept. 2006 à 22:14
Merci pour ta réponse
Déolé, au risque d'être lourd, je pige vraiment pas.
Enfin, sa veut dire quoi ? Sa veut dire que quand on écrit une redirection en html, tout le reste de la page s'exécute ??? C'es pas logique sa ! Si après cette redirection Html ou Js on y met un "exit()", d'après ce que je sais, tout le reste de la page est ignoré.
Enfin, sa me prend la tête. Y en a qui font des tuto pour aider ceux qui connaisse pas, mais la franchement c'est abusé comme c'est lourd. En ce moment je lis 4 livre en même temps sur le développement web et franchement je pige bien, mais la, pour un truck aussi con j'y arrive pas !
cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007 22 sept. 2006 à 14:29
Ok merci, je commence à y voir plus claire. En fait c'est une histoire d'étanchéité. Lui ce qu'il fait, il isole le contenu de la page admin avec un if / else. II affiche le contenu de la page admin ou, d'ans l'autre cas, il affiche un message d'erreur. De cette façon il rend etanche sa page admin à une mauvaise identification.
cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007 22 sept. 2006 à 15:05
Tout cela me pousse à comprendre des choses sur le comportement fondamentale de ce typte de développement :
Si je comprend bien, si on a un script php écrit uniquement en php, alors cette page php reste sur le serveur pendant sont exécution.
Dans l'autre cas, si une page php contient du Html ou du Js, alors cette page est transféfée sur la machine de l'utilisateur.
C'est simple mais j'avais des doutes à propos du transfère d'une page php sur le pc de l'utilisateur. Je pensais qu' une page php était systèmatiquement transférée sur le pc de l'utilisateur.
Je pense que c'est pour cela que j'arrivais pas à comprendre.
cs_AzertyH
Messages postés69Date d'inscriptionsamedi 25 mars 2006StatutMembreDernière intervention18 janvier 2007 22 sept. 2006 à 15:16
Je vais corriger un truck dans mon dernier message...
citation :
Si je comprend bien, si on a un script php écrit uniquement en php...
Dans l'autre cas, si une page php contient du Html ou du Js...
fin de citation
Je dirais plutôt :
Si je comprend bien, si on a un script php qui exécute uniquement du code php, alors cette page php reste sur le serveur pendant sont exécution.
Dans l'autre cas, si on a un script php qui exécute du Html ou du Js, alors cette page est transféfée sur la machine de l'utilisateur.
Voilà c'est plus claire dit comme ça. Je suis peut être un peu répétitif, mais le forum ne donne pas la possibilité d'éditer mon précédent message. Ou alors je n'ai pas trouvé.
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 23 sept. 2006 à 11:12
Salut,
>> "Pourquoi? Que va il se passer quand le 'piratin' va rentrer un mauvais
mot depasse ? Il va arriver sur votre page protégée, et va être
aussitôt redirigé vers une page d'erreur, et c'est là l'erreur : Le
visiteur pourra toujours bloquer son navigateur, ou enregistrer votre
page, et il vera l'intégralité de votre espace 'protégé', et pourra y
accomplir ses méfaits."
Pour éviter ça tu fais un truc dans ce genre, plutôt que de te trimbaler un gros if/else sur toute ta page :
<?php
if(mauvais_passe OU pas_enregistre)
{
header('location: erreur.php');
exit;
}
//Ensuite ici le code qui s'affiche si le membre peut consulter la page protégée.
?>
<hr size="2" width="100%" /><li>Entraide, dépannage et vulgarisation informatique : Mon site de vulgarisation informatique</li>