Sécurité administrateur

Fermé
maverick13 Messages postés 9 Date d'inscription lundi 5 novembre 2012 Statut Membre Dernière intervention 6 avril 2013 - 27 nov. 2012 à 16:11
aomann Messages postés 51 Date d'inscription lundi 26 novembre 2012 Statut Membre Dernière intervention 4 décembre 2012 - 27 nov. 2012 à 18:25
Bonjour,

Je suis sur le point d'éditer la portion administrateur d'un site informel avec intranet pour une entreprise. Je me demandait si un accès du genre mot de passe HTACCESS dans un protocole SSL était super bien sécurisé comme option.

J'ai bien-sûr inclus toute sorte de sécurité dans les formulaires du genre : vérification du mime type, insertion sql, jeton, captcha, regex, ...autre chose à suggéré...

Voilà, si vous penser que ce genre sécurité n'est pas adéquate s.v.p. me le dire et je corrigerai. ( la compétition est disons...très agressive ! Je veux offrir un site très sécurisé dans la limite du faisable.

Merci

3 réponses

gaerebut Messages postés 1017 Date d'inscription mardi 30 octobre 2007 Statut Membre Dernière intervention 22 novembre 2013 171
27 nov. 2012 à 16:34
Bonjour,

Pourquoi n'utilises pas tu un système de connexion via le contenu de la BDD ?
Evidemment pour le MDP, je te préconiserais un hachage en sha-1 via une clé salt, le tout en SSL.
Une protection contre les injections fait parti de la logique de codage. De plus, tu peux faire un système de blocage d'ips pour les essais intempestif (ex: 5 essais erronés = bloquage du formulaire pendant 30 minutes)

A+
Gaerebut
0
maverick13 Messages postés 9 Date d'inscription lundi 5 novembre 2012 Statut Membre Dernière intervention 6 avril 2013
27 nov. 2012 à 16:39
ouais super, je met ça en place aujourd'hui.

Pour la connexion via ce qui ce trouve dans la BDD c'est un peut ca que je fait, mais le contenue ce trouve dans un dossier caché protégé du serveur...Soi le mot de passe htaccess crypté !

est-ce que tu trouve que cela ce ressemble ? donné dans un dossier caché ou donné dans la BDD ?. ( autrement dit tu parlais d'une session relier avec la BDD ? )
0
aomann Messages postés 51 Date d'inscription lundi 26 novembre 2012 Statut Membre Dernière intervention 4 décembre 2012 2
Modifié par aomann le 27/11/2012 à 18:07
Moi aussi j'irais pour la BD. C'est beaucoup plus standard, plus facile à gérer (par exemple s'il y a migration) et flexible. Mais, si je comprends bien c'est déjà le cas.

Ce que tu veux faire c'est empêché un usagé d'accéder directement les fichiers par l'url. J'ai bien compris ?

Dans ce cas, oui c'est possible de le faire avec le fichier .htaccess.

L'autre façon serait que PHP soit l'intermédiare. On refuse toutes les requêtes directs sur le répertoire et les fichiers. PHP peut lire et transmettre les fichiers sur demande autorisée. C'est un peu plus robuste. Je peux t'envoier un exemple si tu veux.

Alex
0
maverick13 Messages postés 9 Date d'inscription lundi 5 novembre 2012 Statut Membre Dernière intervention 6 avril 2013
27 nov. 2012 à 18:15
oui si tu as un exemple c'est good.

Pour ce qui est de la BDD...Seulement trois personnes auront accès donc je ne voie pas l'intérêt de gérer le tous avec une BDD.

Mais si vous dite que c'est plus sécuritaire...c'est une autre chose.
Si je comprend, vous dite que c'est plus facile pour une migration ou une gestion de beaucoup d'usagé. ( je suis d'accord )

Je veux que la partie administrateur d'un site informel soit protégé au max.
( l'à ou mon client va entrer ses données d'intranet ou modifier les textes de son site. )

Merci
0
aomann Messages postés 51 Date d'inscription lundi 26 novembre 2012 Statut Membre Dernière intervention 4 décembre 2012 2
27 nov. 2012 à 18:25
Je ne l'ai jamais fait, mais c'est quelque que j'ai souvent voulu faire.

Je fais te faire quelque chose ce soir.

Alex
0