Scurite Web : htaccess ou mdp + bbd ?
Résolu
DAG
-
fiddy Messages postés 11069 Date d'inscription Statut Contributeur Dernière intervention -
fiddy Messages postés 11069 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Je suis en train de développer un site web que l'ont mettra en place par la suite sur le net.
Je voulais savoir quelle serait la meilleure solution au niveau de la connexion des utilisateurs.
- J'ai vu que l'on pouvait mettre en place un systeme de login via htaccess + htpasswd pour demander un login + mdp (chiffrés) aux utilisateurs et ainsi limiter l'accès aux répertoires du site.
- J'ai aussi vu (et c'est ce que je fais d'habitude et c'est ce que j'ai actuellement mis en place) que l'on pouvait utiliser un système de gestion des utilisateurs avec une base de données contenant les logins + mdp (chiffrés) et ouvrir une sessions à la connexion.
Quelle est la meilleure solution ? Quelle est la solution la plus sécurisée ? Y a-t-il des cas ou une solution est plus préconisée qu'une autre ?
Je suis en train de développer un site web que l'ont mettra en place par la suite sur le net.
Je voulais savoir quelle serait la meilleure solution au niveau de la connexion des utilisateurs.
- J'ai vu que l'on pouvait mettre en place un systeme de login via htaccess + htpasswd pour demander un login + mdp (chiffrés) aux utilisateurs et ainsi limiter l'accès aux répertoires du site.
- J'ai aussi vu (et c'est ce que je fais d'habitude et c'est ce que j'ai actuellement mis en place) que l'on pouvait utiliser un système de gestion des utilisateurs avec une base de données contenant les logins + mdp (chiffrés) et ouvrir une sessions à la connexion.
Quelle est la meilleure solution ? Quelle est la solution la plus sécurisée ? Y a-t-il des cas ou une solution est plus préconisée qu'une autre ?
A voir également:
- Scurite Web : htaccess ou mdp + bbd ?
- Web office - Guide
- Navigateur web - Guide
- Création site web - Guide
- K9 web protection - Télécharger - Contrôle parental
- Adresse web exemple - Guide
8 réponses
Je pense que la solution de la BD est la mieux, dans la mesure où personne ne peut voir son contenu, alors que le fichier .htaccess est présent sur le site et pas difficile à trouver...
Donc potentiellement ouvrable...
Donc potentiellement ouvrable...
Je te conseille les sessions car les htaccess sont facilement piratable avec du code php, et les sessions font plus classes, c'est personnel mais sa rend mieux, surtout que les sessions sont très sécurisées !
Je n'ai utilisé que ces 2 méthodes de connexions et les sessions sont plus sécurisés, car si l'ont maitrise bien php + javascript on peut intégrer ses identifiants dans le htpassword, donc c'est pas très sécuris^é ^^
Je n'ai utilisé que ces 2 méthodes de connexions et les sessions sont plus sécurisés, car si l'ont maitrise bien php + javascript on peut intégrer ses identifiants dans le htpassword, donc c'est pas très sécuris^é ^^
Salut,
Pour zzzer
les htaccess sont facilement piratables
Faux. Il suffit juste de ne pas utiliser les limit get post, car effictevement ça se contourne facilement.
On peut pas voir les données dans la bdd
Faux encore. Il existe des attaques pour lire les informations!
htaccess ou hash+sel du mot de passe dans une bdd sont deux bonnes solutions, à condition bien sûr de bien les utiliser.
Cdt
Pour zzzer
les htaccess sont facilement piratables
Faux. Il suffit juste de ne pas utiliser les limit get post, car effictevement ça se contourne facilement.
On peut pas voir les données dans la bdd
Faux encore. Il existe des attaques pour lire les informations!
htaccess ou hash+sel du mot de passe dans une bdd sont deux bonnes solutions, à condition bien sûr de bien les utiliser.
Cdt
Si le serveur n'est pas bien protégé contre les injections, cela se fait facilement. Et force est de constater que beaucoup de sites ne le sont pas bien. Donc, cette solution n'est ni pire ni meilleure que les htaccess.
Comme souvent, les sécurités sont bonnes, c'est à l'utilisateur de bien les utiliser (pour htaccess comme pour bdd).
Cdt
Comme souvent, les sécurités sont bonnes, c'est à l'utilisateur de bien les utiliser (pour htaccess comme pour bdd).
Cdt
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Pourquoi faire un htaccess en plus d'une authentification par login + mdp ? Une authentification suffit. Pour le reste, c'est de la gestion de droits. Au risque de me répéter, ne stocke pas en clair le mot de passe dans la bdd. Et fais attention à ne pas introduire de faiblesses dans l'implémentation d'htaccess.
Cdt
Cdt
Merci pour vos commentaire. Je pense faire comme vous conseillez.
De plus je suis aller me documenter :
https://www.securiteinfo.com/conseils/htaccess.shtml
On apprend des choses !
A+
De plus je suis aller me documenter :
https://www.securiteinfo.com/conseils/htaccess.shtml
On apprend des choses !
A+
Oui ! Merci à tous !
J'ai décidé de procéder à une authentification par login + mdp normal en m'appuyant sur une bdd pour se logger sur le site. Puis, pour protéger la partie admin (ou il y aura moins d'utilisateurs 3 4 peut être) j'utilise un htaccess.
Voila !
Merci encore !
A+
J'ai décidé de procéder à une authentification par login + mdp normal en m'appuyant sur une bdd pour se logger sur le site. Puis, pour protéger la partie admin (ou il y aura moins d'utilisateurs 3 4 peut être) j'utilise un htaccess.
Voila !
Merci encore !
A+
Je ne connais pas trop la gestion des droits en php. Ce n'est pas la même que celle sur les fichiers ? Enfin c'est pas grave, je vais voir ça...
Sinon pour le mot de passe je l'est crypté avant de le mettre dans la base.
Sinon pour le mot de passe je l'est crypté avant de le mettre dans la base.
Pas vraiment.
Tu mets un nombre représentant les droits de l'utilisateur. Et avant de vérifier s'il a le droit d'accès à la page, il te suffit de faire un ET logique entre le masque de droit de la page et le droit de l'utilisateur.
Pour le stockage de mot de passe dans la bdd, le chiffrement est clairement une mauvaise idée. Il faut hacher le mot de passe (MD5, SHA-1, SHA-512, ...). De plus, tu as intérêt à utiliser un sel pour éviter l'utilisation de rainbow tables.
Cdt
Tu mets un nombre représentant les droits de l'utilisateur. Et avant de vérifier s'il a le droit d'accès à la page, il te suffit de faire un ET logique entre le masque de droit de la page et le droit de l'utilisateur.
Pour le stockage de mot de passe dans la bdd, le chiffrement est clairement une mauvaise idée. Il faut hacher le mot de passe (MD5, SHA-1, SHA-512, ...). De plus, tu as intérêt à utiliser un sel pour éviter l'utilisation de rainbow tables.
Cdt