Sécurité site web

  • Auteur de la discussion aelenia
  • Date de début
aelenia

aelenia

Habitué
Hey tout le monde, j'ai une question
J'ai un site web avec un formulaire de connexion, jusque là tout va bien
lors de l'appui sur "Connexion", la page encode le mdp en md5 et le compare avec celui sur le serveur.
Mon problème est que entre le moment ou le mot de passe est en clair et ou il est encodé (celui que l'utilisateur à tapé dans le formulaire), il y a soit un chargement de page, soit un javascript pour gerer l'encryption...

Or, un javascript, ca se bloque, et des données POST, ca s'intercepte... du coup je sais pas trop comment faire pour éviter que n'importe qui puisse acceder aux mots de passe de mes membres...

la seule solution qui m'est venue a l'esprit (je suis pas un pro en sécurité web) c'est un SSL... mais vu le prix...
 
B

batchy

Grand Maître
t'a pas trop le choix effectivement. quoique, y a une fonctionnalité d'authentification http un minimum sécurisée mais qui n'est pas utilisée : l'authentification http de type digest.

Du coup je me demande si tout les navigateurs l'implemente, mais bon, c'est quand même dans une RFC...
 
aelenia

aelenia

Habitué
merci pour la référence, je connaissais pas, je vais me renseigner dessus. Ce qui m'étonnes c'est que quand on regarde tous les forums comme celui ci par exemple, il n'y a ni SSL, ni encryption particulière, rien n'empeche quelqu'un de hacker un compte d'après ce que je vois, quand je regarde le code source de PHPBB, ya rien de spécialement sécurisé...
 
aelenia

aelenia

Habitué
Aie :s

"la méthode d'authentification HTTP « Digest » est surtout connue, ou notoire, pour l'incompatibilité constatée entre le serveur HTTP le plus répandu, Apache, d'une part, et le navigateur le plus répandu d'autre part, MSIE."

ca va pas le faire ca... mon site autorise par defaut pas IE (questions de programmation, et de choix :p), mais par contre Apache :s
 
B

batchy

Grand Maître
quand on lit quelque chose de ce genre, on lit jusqu'au bout ;)
y a aucun problème avec apache, c'est juste que encore une fois, microsoft à une certaine interpretation du standart dans IIS et IE. ce qui fait que si on utilise un digest, alors apache refuse IE et IIS n'accepte qu'IE.
mais encore une fois y a des hack qui permettent de s'en sortir ;)
 
aelenia

aelenia

Habitué
ah ok :) enfin... niveau requettes HTTP... j'y connais quasiment rien (pour ne pas dire rien )

c'est incroyable qu'il y ait presque pas de solutions (en dehors des SSL sur chers) qui puissent protéger les transactions :O
 
B

batchy

Grand Maître
sinon tu a le certificat SSL autosigné ... mais c'est chiant pour les utilisateurs ;)
 
aelenia

aelenia

Habitué
euh... ouai :s certificat SSL j'ai pas la moindre idée de comment ca marche à part de a quoi ca sert :p jvais me renseigner un peu la dessus, merci de l'idée, je savais pas que ca existait en autosigné :)
 
aelenia

aelenia

Habitué
Bon bah après renseignement, il y a meme mieux:
Vous devez être connecté pour voir les liens.

certificat SSL reconnu par tous les navigateurs sauf IE et Opera (IE bientot), et entierement gratuit :)
Bon par contre, je peux pas encore l'installer :( j'ai pas encore de nom de domaine, et je développe mon site sur un hébergeur gratuit, du coup... pas d'adresse IP perso...
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Dernières actus
Derniers messages publiés
Statistiques globales
Discussions
730 128
Messages
6 717 827
Membres
1 586 367
Dernier membre
ramkin
Partager cette page
Haut