Sujet Précédent Sujet Suivant

Scurite Web : htaccess ou mdp + bbd ?

Résolu/Fermé
DAG - 30 juil. 2008 à 13:27
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 - 31 juil. 2008 à 09:48
Bonjour,

Je suis en train de développer un site web que l'ont mettra en place par la suite sur le net.

Je voulais savoir quelle serait la meilleure solution au niveau de la connexion des utilisateurs.

- J'ai vu que l'on pouvait mettre en place un systeme de login via htaccess + htpasswd pour demander un login + mdp (chiffrés) aux utilisateurs et ainsi limiter l'accès aux répertoires du site.

- J'ai aussi vu (et c'est ce que je fais d'habitude et c'est ce que j'ai actuellement mis en place) que l'on pouvait utiliser un système de gestion des utilisateurs avec une base de données contenant les logins + mdp (chiffrés) et ouvrir une sessions à la connexion.

Quelle est la meilleure solution ? Quelle est la solution la plus sécurisée ? Y a-t-il des cas ou une solution est plus préconisée qu'une autre ?
A voir également:

8 réponses

Réponse 1 / 8
zzzer Messages postés 907 Date d'inscription dimanche 25 mai 2008 Statut Membre Dernière intervention 3 décembre 2023 181
30 juil. 2008 à 13:32
Je pense que la solution de la BD est la mieux, dans la mesure où personne ne peut voir son contenu, alors que le fichier .htaccess est présent sur le site et pas difficile à trouver...
Donc potentiellement ouvrable...

1
Réponse 2 / 8
Koozag Messages postés 391 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 31 janvier 2013 50
30 juil. 2008 à 13:33
Je te conseille les sessions car les htaccess sont facilement piratable avec du code php, et les sessions font plus classes, c'est personnel mais sa rend mieux, surtout que les sessions sont très sécurisées !
Je n'ai utilisé que ces 2 méthodes de connexions et les sessions sont plus sécurisés, car si l'ont maitrise bien php + javascript on peut intégrer ses identifiants dans le htpassword, donc c'est pas très sécuris^é ^^
1
Réponse 3 / 8
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 1 835
30 juil. 2008 à 13:56
Salut,
Pour zzzer
les htaccess sont facilement piratables
Faux. Il suffit juste de ne pas utiliser les limit get post, car effictevement ça se contourne facilement.

On peut pas voir les données dans la bdd
Faux encore. Il existe des attaques pour lire les informations!


htaccess ou hash+sel du mot de passe dans une bdd sont deux bonnes solutions, à condition bien sûr de bien les utiliser.
Cdt
1
zzzer Messages postés 907 Date d'inscription dimanche 25 mai 2008 Statut Membre Dernière intervention 3 décembre 2023 181
30 juil. 2008 à 14:09
On peut pas voir les données dans la bdd
Faux encore. Il existe des attaques pour lire les informations!

Pour réussir à lire dans une BD, faut en vouloir quand même...

0
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 1 835 > zzzer Messages postés 907 Date d'inscription dimanche 25 mai 2008 Statut Membre Dernière intervention 3 décembre 2023
30 juil. 2008 à 14:17
Si le serveur n'est pas bien protégé contre les injections, cela se fait facilement. Et force est de constater que beaucoup de sites ne le sont pas bien. Donc, cette solution n'est ni pire ni meilleure que les htaccess.
Comme souvent, les sécurités sont bonnes, c'est à l'utilisateur de bien les utiliser (pour htaccess comme pour bdd).

Cdt
0
Réponse 4 / 8
Koozag Messages postés 391 Date d'inscription jeudi 3 juillet 2008 Statut Membre Dernière intervention 31 janvier 2013 50
30 juil. 2008 à 22:41
bref on lui a donné le pour et le contre à lui de voir :p
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 1 835
31 juil. 2008 à 09:33
Pourquoi faire un htaccess en plus d'une authentification par login + mdp ? Une authentification suffit. Pour le reste, c'est de la gestion de droits. Au risque de me répéter, ne stocke pas en clair le mot de passe dans la bdd. Et fais attention à ne pas introduire de faiblesses dans l'implémentation d'htaccess.

Cdt
1
Réponse 6 / 8
DAG
30 juil. 2008 à 13:51
Merci pour vos commentaire. Je pense faire comme vous conseillez.
De plus je suis aller me documenter :
https://www.securiteinfo.com/conseils/htaccess.shtml

On apprend des choses !

A+
0
Réponse 7 / 8
DAG
31 juil. 2008 à 09:10
Oui ! Merci à tous !

J'ai décidé de procéder à une authentification par login + mdp normal en m'appuyant sur une bdd pour se logger sur le site. Puis, pour protéger la partie admin (ou il y aura moins d'utilisateurs 3 4 peut être) j'utilise un htaccess.

Voila !

Merci encore !

A+
0
Réponse 8 / 8
DAG
31 juil. 2008 à 09:36
Je ne connais pas trop la gestion des droits en php. Ce n'est pas la même que celle sur les fichiers ? Enfin c'est pas grave, je vais voir ça...
Sinon pour le mot de passe je l'est crypté avant de le mettre dans la base.
0
fiddy Messages postés 11069 Date d'inscription samedi 5 mai 2007 Statut Contributeur Dernière intervention 23 avril 2022 1 835
31 juil. 2008 à 09:48
Pas vraiment.
Tu mets un nombre représentant les droits de l'utilisateur. Et avant de vérifier s'il a le droit d'accès à la page, il te suffit de faire un ET logique entre le masque de droit de la page et le droit de l'utilisateur.
Pour le stockage de mot de passe dans la bdd, le chiffrement est clairement une mauvaise idée. Il faut hacher le mot de passe (MD5, SHA-1, SHA-512, ...). De plus, tu as intérêt à utiliser un sel pour éviter l'utilisation de rainbow tables.

Cdt
0

Discussions similaires

Web-DL, DVDRIP-DIVX-MP et DVDSCR : ça veut dire quoi ?
coeur83 -
Timedodger -

21 réponses