[Plan du site] Vous êtes ici --- > Le Site du Zéro > Les forums > Site Web > PHP > Vos Fonctions ou astuces > Lecture du sujet

Vos Fonctions ou astuces

Vous devez être inscrit pour pouvoir poster des messages

Auteur	Message
Page : Précédente 1 2 3 ... 69 70 71 72 73 74 75 ... 97 98 99 100 Suivante
1 visiteur sur ce sujet (1 anonyme)
Page : Précédente 1 2 3 ... 69 70 71 72 73 74 75 ... 97 98 99 100 Suivante
Jeremie78	# Posté le 22/02/2008 à 22:06:08
Powered by GNU/Linux Groupe : Membres	Reprise du dernier message de la page précédente : Ça me parait évident pourtant, Lcf est l'incarnation même du dicton "pourquoi faire simple quand on peu faire compliqué". Sachant qu'il existe plein de façon plus simple de sécuriser tout ça Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...
Lcf.vs	# Posté le 22/02/2008 à 22:10:54
Gaea's mats!!! Groupe : Membres	`Haku> mon système? il tourne... j'ai encore du boulot pour la navigation et je sais comment m'y prendre, je présenterai cela quand il y aura déjà quelques petites choses à tester dessus A-spec59> le crypt se lançant à chaque chargement de la page, même si quelqu'un remplissait toutes les conditions pour avoir ta page, ses liens ne le renverraient que vers mon echo"tentative frauduleuse"; logique, puisque la clé de ses liens ne correspondra pas... pour ce qui est du mythe "compliqué", toute la sécurité de mon site pèse 2k, rien de bien terrible, quoi... Édité le 22/02/2008 à 22:17:27 par Lcf.vs The greatests innovations are born of deceases and suffering...
A-spec59	# Posté le 22/02/2008 à 22:19:48
Réfléchissez ! Groupe : Membres	Citation : Lcf.vs `Haku> mon système? il tourne... A-spec59> le crypt se lançant à chaque chargement de la page, même si quelqu'un remplissait toutes les conditions pour avoir ta page, ses liens ne le renverraient que vers mon echo"tentative frauduleuse"; logique, puisque la clé de ses liens ne correspondra pas... Un grand principe énoncé par je ne sais plus qui, disait qu'en sécurité, cryptologie, un système est considéré comme sûr lorsque même avec les sources de ce système, celui-ci demeurait incassable. Donc dire que ton script tourne, ça nous avance strictement à rien pour pouvoir dire s'il est sûr ou non. Ensuite, mon but pour ton crypt n'est pas de savoir quand ça ne marche pas, mais bien quand cela peut marcher. Parce qu'avec un crypt qui ne renvoie jamais pareil, ça me paraît difficile de passer la condition qui compare les deux chaînes cryptées. Green Searches, 1ère bêta. Pourquoi faire des recherches de façon écologique devrait-il se réduire à des recherches web. Green Searches vous permet aussi de faire des recherches d'images, de vidéos (à venir), de livres, dans les actualités .... Je cherche des petit trucs à faire contre petite rémunération (traduction, codage de script, graphisme, ... ) Plus de détails => me contacter What I can do
anonyme	# Posté le 22/02/2008 à 22:20:33
Groupe :	Quand tu as dit que tu quittais le SdZ ton système tournait déjà d'après toi.
Lcf.vs	# Posté le 22/02/2008 à 22:27:05
Gaea's mats!!! Groupe : Membres	A-spec59> justement, regarde mieux, je ne compare pas l'ancienne chaîne cryptée à la nouvelle, mais à celle renvoyée par l'utilisateur pour ce qui est de mes sources, c'est prévu, mais je me suis fixé des objectifs à atteindre avant, c-à-d que je n'ai pas encore trouvé de faille à mon système mais qu'il présente un défaut auquel je suis en train de remédier `Haku> oui, il tournait déjà, mais je l'ai amélioré me rendant compte de failles The greatests innovations are born of deceases and suffering...
A-spec59	# Posté le 22/02/2008 à 22:36:03
Réfléchissez ! Groupe : Membres	Et la valeur de chaine_a_comparer quand le visiteur clique sur le lien, c'est quoi ? Parce que ça on le sait toujours pas. Edit : un brin du curiosité tout de même, une attitude aussi parano étant forcément suspecte, ton site hébergera quel genre d'informations ultra-sensibles pour que tu aies à fabriquer toi même des solutions de sécurité, celles en place n'étant pas suffisantes ? Édité le 22/02/2008 à 22:38:11 par A-spec59 Green Searches, 1ère bêta. Pourquoi faire des recherches de façon écologique devrait-il se réduire à des recherches web. Green Searches vous permet aussi de faire des recherches d'images, de vidéos (à venir), de livres, dans les actualités .... Je cherche des petit trucs à faire contre petite rémunération (traduction, codage de script, graphisme, ... ) Plus de détails => me contacter What I can do
Lcf.vs	# Posté le 22/02/2008 à 22:39:19
Gaea's mats!!! Groupe : Membres	c'est justement ton ip précédente cryptée... The greatests innovations are born of deceases and suffering...
A-spec59	# Posté le 22/02/2008 à 22:43:51
Réfléchissez ! Groupe : Membres	Ha bon. C'est à se demander pourquoi on a créé les sessions ton système. Le visiteur vient, remplit son login et mdp, si ça correspond bien à quelqu'un qui n'est pas banni (on regarde ça via un champ dans la BDD) on créé une session, puis sur les autres pages, on vérifie l'existence de cette session pour voir si le membre est bien logué et pas banni. Green Searches, 1ère bêta. Pourquoi faire des recherches de façon écologique devrait-il se réduire à des recherches web. Green Searches vous permet aussi de faire des recherches d'images, de vidéos (à venir), de livres, dans les actualités .... Je cherche des petit trucs à faire contre petite rémunération (traduction, codage de script, graphisme, ... ) Plus de détails => me contacter What I can do
Lcf.vs	# Posté le 22/02/2008 à 22:48:42
Gaea's mats!!! Groupe : Membres	ben, oui, je l'ai dit, mon but est de n'utiliser ni cookies, ni sesions et avoir la certitude que c'est le bon utilisateur... cqfd The greatests innovations are born of deceases and suffering...
elazard	# Posté le 22/02/2008 à 22:52:54
Groupe : Membres	y'a vraiment des gens dont le but ultime c'est de se faire mousser... mais bon j'ai hâte de voir ce que ça vaudra en live ton système (j'aime pas ton attitude mais par contre je préjuge pas du niveau de sécurité de ton système), je suis sur que dès que tu aura posté les sources y'aura de nombreuses personnes qui essayeront de le passer juste pour montrer qu'au final c'était 30 posts pour rien. anyway anyway bonne chance pour la suite. ps : je trouve que ta fonction manque grandement d'iframe (:))
A-spec59	# Posté le 22/02/2008 à 22:59:29
Réfléchissez ! Groupe : Membres	Refaire un système de sessions quoi. Du coup on voit mieux quand même l'utilité de ton système, c'est se passer de sessions pour en faire soi-même. Green Searches, 1ère bêta. Pourquoi faire des recherches de façon écologique devrait-il se réduire à des recherches web. Green Searches vous permet aussi de faire des recherches d'images, de vidéos (à venir), de livres, dans les actualités .... Je cherche des petit trucs à faire contre petite rémunération (traduction, codage de script, graphisme, ... ) Plus de détails => me contacter What I can do
Jeremie78	# Posté le 22/02/2008 à 23:06:00
Powered by GNU/Linux Groupe : Membres	Que ce passe t'il si on ouvre des onglets à partir des liens de la page chargée ? Le deuxième onglet se fait refuser la connexion ? Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...
Lcf.vs	# Posté le 22/02/2008 à 23:14:59
Gaea's mats!!! Groupe : Membres	ben, oui, quelle évidence... c'est notamment à cela que je travaille... The greatests innovations are born of deceases and suffering...
Jeremie78	# Posté le 22/02/2008 à 23:30:15
Powered by GNU/Linux Groupe : Membres	Et oui, c'est aussi probablement pour ça que tu pollue le topic et que tu arrives à occuper tout le monde (même les modos o_O) avec une conn**ie (on peut le dire entre nous) de système de sécurité ... Si j'ai besoin de réinventer la roue, je te fais signe hein Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...
Lcf.vs	# Posté le 22/02/2008 à 23:56:46
Gaea's mats!!! Groupe : Membres	comme on peut le lire un peu partout, les cookies et sessions ne sont pas conçus pour l'identification... donc, en faisant son propre système de sessions, tu peux le sécuriser comme tu veux et en plus, le nombre d'informations, si j'ai bonne souvenance (j'ingurgite beaucoup pour le moment), dans les cookies/sessions étant limité, ben, tu peux les destiner à des choses utiles mais pas sensibles... on dit de mon attitude? quand je vois comment on s'adresse aux gens, ici... Édité le 23/02/2008 à 00:00:29 par Lcf.vs The greatests innovations are born of deceases and suffering...
Dutiona	# Posté le 23/02/2008 à 00:02:55
Vis pour être heureux ! Groupe : Membres	Sachant, je tiens à le préciser, que le HTTP_X_FORWARDED_FOR n'est pas forcément renseigné par tout les navigateurs (ou est modifiable). Je te laisse deviner la suite. C'est plus utile d'essayer de recoder un smarty v12... J'ajouterai même plus (pour répondre à ton post) qu'il ne faut se fier qu'à un minimum aux infos utilisateurs. Les session sont des cookies qui sotckent un id, l'id de la session stockée sur le serveur. Cet id est en clair. Un vol de session, c'est donc facil. Ce qu'il faut, c'est plutôt voir comment crypter les infos entre le client et le serveur (ou crypter/décrypter juste l'identifiant de session) avec, comme idéal, un cryptage rsa avec le serveur en Alice . ... ... Ca existe déjà. C'est du https. Donc, si on regarde bien, plus rien n'est à inventer. Sauf, peut être, un protocole SSPT (super secured transfert protocol ). Bisous, Nyu Édité le 23/02/2008 à 00:03:25 par Dutiona Défiez ma brute ! Eclipse user \| Ubuntu (KDE) user \| php/sql/xhtml/css/xml/xsl/javascript/java/python/perl/c/scheme coder. Framework in use: Seraframework (my own one). In Microeisti staff.
Diti	# Posté le 23/02/2008 à 00:05:09
Manchot empereur Groupe : Membres	Citation : A-spec59 Un grand principe énoncé par je ne sais plus qui, disait qu'en sécurité, cryptologie, un système est considéré comme sûr lorsque même avec les sources de ce système, celui-ci demeurait incassable. Donc dire que ton script tourne, ça nous avance strictement à rien pour pouvoir dire s'il est sûr ou non. Principe de Kerckhoffs Édité le 23/02/2008 à 00:05:42 par Diti Contributeur Wikipédia — Administrateur Wikimedia Commons — Emperor Penguin fur.
Lcf.vs	# Posté le 23/02/2008 à 00:09:47
Gaea's mats!!! Groupe : Membres	si HTTP_X_FORWARDED_FOR n'existe pas, on reprend l'adresse ip tout court, donc, je ne vois pas de problème... et ce que je crypte, c'est l'accès à la page suivante... mais c'est vrai qu'avec un coup de ssl par-dessus, ce serait top, j'y pense... The greatests innovations are born of deceases and suffering...
Jeremie78	# Posté le 23/02/2008 à 01:47:38
Powered by GNU/Linux Groupe : Membres	Comme il été dit précédemment, qu'est ce que tu peux bien avoir à sécuriser ? Un certif SSL, des sessions, un petit cookie et basta hein ... Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...
Lcf.vs	# Posté le 23/02/2008 à 09:11:41
Gaea's mats!!! Groupe : Membres	comme il a aussi été dit, les cookies et sessions ne sont pas faits pour l'identification, donc, sans les employer, si tu as d'autres méthodes sécurisées qui ne les utilisent pas pour identifier tes utilisateurs, c'est ici qu'il faut les énoncer... et comme le disait Nyu, le ssl sert à crypter la transmission de données mais, à ce que je sache, ça ne te met pas à l'abri d'un vol de session ce que j'ai à protéger ne te regarde en rien, j'ai besoin d'avoir un système vraiment sécurisé et j'essaie comme je peux de remédier à des problèmes existants je ne sais si mon système est à toutes épreuves ou non mais au moins, j'essaie plutôt que de me contenter de systèmes existants auquels il est reconnu qu'ils comportent des failles toi, tu suis le progrès, moi, je tente d'y contribuer, peut-être en vain, ok, mais si certains n'avaient cherché d'autres solutions tout comme moi, ben, on aurait rien à l'heure actuelle, voilà tout ps: on est sur un forum d'entraide, donc, d'autant plus ici, je trouve honteux que de réprimer quelqu'un qui essaie de faire avancer les choses, je n'y connais pas encore grand-chose, d'accord mais ici, je viens tout de même de démontrer un système de "sessions" dont l'"id" n'est pas volable, peux-tu en dire autant de tes sessions? Édité le 23/02/2008 à 09:29:30 par Lcf.vs The greatests innovations are born of deceases and suffering...
Dentuk	# Posté le 23/02/2008 à 09:30:55
Yamo... Groupe : Membres	Citation : Lcf.vs je viens tout de même de démontrer un système de "sessions" dont l'"id" n'est pas volable, peux-tu en dire autant de tes sessions? Euh ? En quoi un lien avec ?chaine_a_comparer=abcd est plus sur qu'un ?PHPSESSID=abcd ? Aurais-je loupé une partie de ton code ? Par ailleurs, vu que tu ne redéfinis pas $chaine_a_comparer après l'avoir modifiée dans le fichier, je vois mal comment ton système peut fonctionner puisque c'est l'ancienne que tu affiches dans le lien (et $_post je connais pas moi).
Lcf.vs	# Posté le 23/02/2008 à 09:46:07
Gaea's mats!!! Groupe : Membres	ce que ça apporte? c'est simple, un id de session, s'il est volé, le voleur aura la page du membre, rien de plus compliqué... chez moi, l'accès de la page du membre étant déjà très contrôlé et l'"id" que je demande à l'utilisateur ne peut être modifié, ça ne le changerait pas de page et il se retrouverait même bloqué sur son propre profil... tu ne vois pas en quoi cela peut fonctionner dû au fait que ce soit l'ancienne ip cryptée que je contrôle? ben, imaginons que tu sois arrivé à simuler la page d'un membre, comment pourrais-tu avoir la chaine à comparer qu'à reçu ce membre? de plus, cette variable n'est valable que jusqu'au moment où il clique sur un lien, en bref, un utilisateur met en général quelques secondes, voire minutes, avant de changer de page et avec un "bon" brute force, tu mettrais combien de temps à trouver? d'autant plus que si tu rentres une mauvaise série, t'es banni? mdr Édité le 23/02/2008 à 09:47:16 par Lcf.vs The greatests innovations are born of deceases and suffering...
A-spec59	# Posté le 23/02/2008 à 11:07:32
Réfléchissez ! Groupe : Membres	Citation : Lcf.vs d'autant plus que si tu rentres une mauvaise série, t'es banni? mdr Ha tiens c'est pratique ça, vraiment je trouve. Pourquoi ? Ben parce que un visiteur un peu curieux, s'il touche à un seul caractère de l'url (ben oui ça intrigue de voir toujours une valeur se balader dans l'url du site), il est banni ! A mon avis, tu vas voir qu'il y a pleins de hackeurs sur ton site, bon qui ne seront jamais que des gens curieux, mais bon. Et puis regarde bien les sessions, tu peux définir toi-même les id de sessions, et vu que tu es un poil parano, tu peux même te servir de session_regenerate_id sur chaque page, pour peu que tu sois sur un serveur récent (>5.1), tu pourras en plus supprimer l'ancien fichier de session. Et là bon courage pour voler des sessions avec le ssid qui change sur chaque page, faudrait avoir une chance de cocu pour ça. Green Searches, 1ère bêta. Pourquoi faire des recherches de façon écologique devrait-il se réduire à des recherches web. Green Searches vous permet aussi de faire des recherches d'images, de vidéos (à venir), de livres, dans les actualités .... Je cherche des petit trucs à faire contre petite rémunération (traduction, codage de script, graphisme, ... ) Plus de détails => me contacter What I can do
Lcf.vs	# Posté le 23/02/2008 à 11:14:52
Gaea's mats!!! Groupe : Membres	allez, oui, plutôt que de bannir, je renvoie sur la page de connexion, ça te convient mieux? The greatests innovations are born of deceases and suffering...
Jeremie78	# Posté le 23/02/2008 à 11:15:21
Powered by GNU/Linux Groupe : Membres	Citation : Lcf.vs toi, tu suis le progrès, moi, je tente d'y contribuer, peut-être en vain, ok, mais si certains n'avaient cherché d'autres solutions tout comme moi, ben, on aurait rien à l'heure actuelle, voilà tout Moi j'utilise le progrès et je rajoute une couche de protection. Si un mec peut voler un cookie sur ton ordinateur, alors il peut aussi se faire envoyer le contenu de la page que tu visites. Si un mec peut accéder aux répertoires de ton espace web, il peut aussi traffiquer le système, regarder dans la base de données, ... En sécurité, le 100% n'existe pas de façon "global" mais de façon localisée, dans le sens ou il y aura toujours des failles, physiques ou numérique ! On parle alors de "risques". Quelle assurance à tu que ton hébergeur ne va pas trafiquer ton serveur web et y mettre un rootkit ? Quelle assurance à tu quand à l'individu derrière son ordinateur ? Sais-tu s'il est forcé de révéler son mot de passe ? Comment fais-tu pour assurer la sécurité de ses données ? Le seul système 100% sécurisé c'est ... le néant. J'avoue ne pas comprendre que tu veuilles réinventer la roue à ce niveau là ! As-tu aussi pensé aux failles PHP ? Peut-être devrais tu recoder tout ça, non ? Et l'OS ? Et les autres logiciels ? (...) Je suis désolé mais je suis très sceptique face à ta façon de "sécuriser" les informations ... PS: je trouve ton but très louable, sécuriser les systèmes d'identifications. Mais je te dis simplement que tu pars dans la mauvaise direction. Édité le 23/02/2008 à 11:24:14 par Jeremie78 Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...
Lcf.vs	# Posté le 23/02/2008 à 11:32:49
Gaea's mats!!! Groupe : Membres	justement, un visiteur mal intentionné ne pourrait se faire envoyer la variable, puisqu'elle est cryptée et donc à chaque fois différente je pense aussi que la sécurité 100% ne peut exister mais c'est à chacun de faire de son mieux, on doit bien ça à nos clients pour le serveur, je compte passer à un perso dès le lancement officiel de mon site, donc pas de problème de traficotage pour la transmission des données (mdp, etc), comme je l'ai dit, je compte utiliser le ssl je compte aussi me servir des sessions mais plutôt pour mon système de navigation, bref, rien de personnel je n'essaie pas "de réinventer la roue" mais j'ai simplement fait mon système en complément de ce qui existe, ça permet de gérer les informations avec des outils appropriés au type de contenu. si c'est de l'information sensible -> je passe par mon système sinon, par les cookies/sessions d'après ce que j'ai pu lire un peu partout, je pense que c'est ainsi que ça devrait aller (pas forcément avec mon système, hein) The greatests innovations are born of deceases and suffering...
Lynix	# Posté le 23/02/2008 à 11:51:10
Graphiste 3D Groupe : Membres	N'importe quoi, il est très facile de protéger contre le vol des sessions voici une simple ligne de code qui t'aide beaucoup : Code : PHP - Afficher / masquer les numéros de ligne <?php session_regenerate_id(true); ?> Si tu mets ça sur chaque page (si l'utilisateur est connecté), l'identifiant de session changera très rapidement, le hacker n'aura certainement pas le temps d'entrer l'identifiant dans son programme que il aura déja changé Si ton systeme avait comme seul but de protéger contre le vol de sessions, ma ligne de code remplace tout ça EDIT : oh j'avais oublié, ma ligne de code ne fonctionne correctement que sur php5 (ne pas l'utiliser sous php4, ce serait suicidaire) Voici un site qui t'explique une méthode pour remplacer la fonction sous php4 http://guillaume-affringue.developpez.com/securite/chiffrement/?page=4#LIV-B sur ce : Installa vista baby Édité le 23/02/2008 à 11:54:41 par Lynix Utopy Bientot
Lcf.vs	# Posté le 23/02/2008 à 13:04:59
Gaea's mats!!! Groupe : Membres	merci, à ce que je viens de lire, mon système est un peu comparable au système de tickets à la différence que vu que je n'utilise ni les cookies, ni les sessions, ben, c'est plus respectueux de l'environnement de l'utilisateur et que je suis assuré que l'accès octroyé sera dans tous les cas pour un unique affichage et on reproche à mon système de créer une multitude de fichiers sur le serveur, mais les sessions en font tout autant... Édité le 23/02/2008 à 13:07:19 par Lcf.vs The greatests innovations are born of deceases and suffering...
Lynix	# Posté le 23/02/2008 à 13:21:45
Graphiste 3D Groupe : Membres	Oui ton systeme utilise la même méthode, sauf que dans notre cas on garde les sessions ce qui est bien plus optimisé Et oui les sessions créé des fichiers, a la différence énorme que elles, elles les supprime après les fichiers Toi tu créés une fois le fichier fonction et une fois le fichier de ton systeme pourquoi réinventer la roue? tu ne peux pas la perfectionner Donc voila, moi je t'ai montré comment sécuriser tes sessions, ton systeme lui n'est pas sécurisé Libre a toi de te faire hacker ou pas, moi j'ai dis ce que j'avais a dire Utopy Bientot
Savageman	# Posté le 23/02/2008 à 13:25:50
Insa : If inside Groupe : Membres	Hum... Tu peux faire ce que tu veux avec les sessions en fait... Va voir session_name(), session_id(), session_regenerate_id(), session.use_trans_sid, session.use_cookies, session.use_only_cookies, session.save_path et session_set_save_handler()... C'est vachement plus simple... Tu ne fais que rajouter une vérification d'IP au final... Big-tuto : Créez votre site (presque) complet PHP : architecture MVC et bonnes pratiques
Jeremie78	# Posté le 23/02/2008 à 13:43:20
Powered by GNU/Linux Groupe : Membres	QUi est plus est, l'IP est falsifiable.. Web-Modules : outils pour webmasters (compteurs, tchat, news ...) à installer sur son site, générateur de bannières, de userbars, ...

Retour au forum "PHP" ou à la liste des forums

Vous devez être inscrit pour pouvoir poster des messages

Tutoriels

Communauté

Mon compte

Recherche

Livre d'or

Publicité

Vos Fonctions ou astuces