Sécurité administrateur
maverick13
Messages postés
9
Date d'inscription
Statut
Membre
Dernière intervention
-
aomann Messages postés 51 Date d'inscription Statut Membre Dernière intervention -
aomann Messages postés 51 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je suis sur le point d'éditer la portion administrateur d'un site informel avec intranet pour une entreprise. Je me demandait si un accès du genre mot de passe HTACCESS dans un protocole SSL était super bien sécurisé comme option.
J'ai bien-sûr inclus toute sorte de sécurité dans les formulaires du genre : vérification du mime type, insertion sql, jeton, captcha, regex, ...autre chose à suggéré...
Voilà, si vous penser que ce genre sécurité n'est pas adéquate s.v.p. me le dire et je corrigerai. ( la compétition est disons...très agressive ! Je veux offrir un site très sécurisé dans la limite du faisable.
Merci
Je suis sur le point d'éditer la portion administrateur d'un site informel avec intranet pour une entreprise. Je me demandait si un accès du genre mot de passe HTACCESS dans un protocole SSL était super bien sécurisé comme option.
J'ai bien-sûr inclus toute sorte de sécurité dans les formulaires du genre : vérification du mime type, insertion sql, jeton, captcha, regex, ...autre chose à suggéré...
Voilà, si vous penser que ce genre sécurité n'est pas adéquate s.v.p. me le dire et je corrigerai. ( la compétition est disons...très agressive ! Je veux offrir un site très sécurisé dans la limite du faisable.
Merci
A voir également:
- Sécurité administrateur
- Question de sécurité - Guide
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mot de passe administrateur - Guide
- Mode securite - Guide
- Formater un pc bloqué par administrateur - Guide
3 réponses
Bonjour,
Pourquoi n'utilises pas tu un système de connexion via le contenu de la BDD ?
Evidemment pour le MDP, je te préconiserais un hachage en sha-1 via une clé salt, le tout en SSL.
Une protection contre les injections fait parti de la logique de codage. De plus, tu peux faire un système de blocage d'ips pour les essais intempestif (ex: 5 essais erronés = bloquage du formulaire pendant 30 minutes)
A+
Gaerebut
Pourquoi n'utilises pas tu un système de connexion via le contenu de la BDD ?
Evidemment pour le MDP, je te préconiserais un hachage en sha-1 via une clé salt, le tout en SSL.
Une protection contre les injections fait parti de la logique de codage. De plus, tu peux faire un système de blocage d'ips pour les essais intempestif (ex: 5 essais erronés = bloquage du formulaire pendant 30 minutes)
A+
Gaerebut
ouais super, je met ça en place aujourd'hui.
Pour la connexion via ce qui ce trouve dans la BDD c'est un peut ca que je fait, mais le contenue ce trouve dans un dossier caché protégé du serveur...Soi le mot de passe htaccess crypté !
est-ce que tu trouve que cela ce ressemble ? donné dans un dossier caché ou donné dans la BDD ?. ( autrement dit tu parlais d'une session relier avec la BDD ? )
Pour la connexion via ce qui ce trouve dans la BDD c'est un peut ca que je fait, mais le contenue ce trouve dans un dossier caché protégé du serveur...Soi le mot de passe htaccess crypté !
est-ce que tu trouve que cela ce ressemble ? donné dans un dossier caché ou donné dans la BDD ?. ( autrement dit tu parlais d'une session relier avec la BDD ? )
Moi aussi j'irais pour la BD. C'est beaucoup plus standard, plus facile à gérer (par exemple s'il y a migration) et flexible. Mais, si je comprends bien c'est déjà le cas.
Ce que tu veux faire c'est empêché un usagé d'accéder directement les fichiers par l'url. J'ai bien compris ?
Dans ce cas, oui c'est possible de le faire avec le fichier .htaccess.
L'autre façon serait que PHP soit l'intermédiare. On refuse toutes les requêtes directs sur le répertoire et les fichiers. PHP peut lire et transmettre les fichiers sur demande autorisée. C'est un peu plus robuste. Je peux t'envoier un exemple si tu veux.
Alex
Ce que tu veux faire c'est empêché un usagé d'accéder directement les fichiers par l'url. J'ai bien compris ?
Dans ce cas, oui c'est possible de le faire avec le fichier .htaccess.
L'autre façon serait que PHP soit l'intermédiare. On refuse toutes les requêtes directs sur le répertoire et les fichiers. PHP peut lire et transmettre les fichiers sur demande autorisée. C'est un peu plus robuste. Je peux t'envoier un exemple si tu veux.
Alex
oui si tu as un exemple c'est good.
Pour ce qui est de la BDD...Seulement trois personnes auront accès donc je ne voie pas l'intérêt de gérer le tous avec une BDD.
Mais si vous dite que c'est plus sécuritaire...c'est une autre chose.
Si je comprend, vous dite que c'est plus facile pour une migration ou une gestion de beaucoup d'usagé. ( je suis d'accord )
Je veux que la partie administrateur d'un site informel soit protégé au max.
( l'à ou mon client va entrer ses données d'intranet ou modifier les textes de son site. )
Merci
Pour ce qui est de la BDD...Seulement trois personnes auront accès donc je ne voie pas l'intérêt de gérer le tous avec une BDD.
Mais si vous dite que c'est plus sécuritaire...c'est une autre chose.
Si je comprend, vous dite que c'est plus facile pour une migration ou une gestion de beaucoup d'usagé. ( je suis d'accord )
Je veux que la partie administrateur d'un site informel soit protégé au max.
( l'à ou mon client va entrer ses données d'intranet ou modifier les textes de son site. )
Merci
