16 réponses
Bonsoir raq1,
Parles-tu bien de Html ?
Mes réponses :
1° impossible de m'empêcher de copier une image ! si je peux la visualiser, je peux faire une copie d'écran et prendre l'image !
2° si tu m'empêches Affichage>Source, je ferai clic-droit>Afficher la source
Il y a bien quelques possibilités pour rendre les choses un peu plus compliquées... mais ce n'est pas en Html (ton titre) !
Html n'est pas un langage de programmation, mais un simple logiciel d'affichage !!!
@12C4
Ipl
Parles-tu bien de Html ?
Mes réponses :
1° impossible de m'empêcher de copier une image ! si je peux la visualiser, je peux faire une copie d'écran et prendre l'image !
2° si tu m'empêches Affichage>Source, je ferai clic-droit>Afficher la source
Il y a bien quelques possibilités pour rendre les choses un peu plus compliquées... mais ce n'est pas en Html (ton titre) !
Html n'est pas un langage de programmation, mais un simple logiciel d'affichage !!!
@12C4
Ipl
(Le retour-du-fils-de-la-revanche-de-la-question-de-la-mort-qui-tue-II.)
1) c'est pas possible
2) c'est pas possible.
(ça devient un chouille lassant de répondre encore et toujours à la même question, et de voir les mêmes arguments avancés à chaque fois.)
Je vais le redire: il n'existe actuellement aucun système anticopie qui ne soit pas contournable.
Si c'est pous protéger l'accès à des pages d'un site par mot de passe, c'est avec des fichiers .htaccess qu'il faut voir ça.
1) c'est pas possible
2) c'est pas possible.
(ça devient un chouille lassant de répondre encore et toujours à la même question, et de voir les mêmes arguments avancés à chaque fois.)
Je vais le redire: il n'existe actuellement aucun système anticopie qui ne soit pas contournable.
Si c'est pous protéger l'accès à des pages d'un site par mot de passe, c'est avec des fichiers .htaccess qu'il faut voir ça.
Salut :)
Je confirme que ce n'est pas possible.
Les sites que tu as vus utilisent du JavaScript qui réagit à l'événement "Clic droit" de la souris... Il suffirait que tu désactives JavaScript pour passer outre cette interdiction.
D'une manière générale, dis-toi bien que le JavaScript peut servir à ajouter des effets dynamiques aux pages Web, ou des contrôles de base sur la saisie dans un formulaire.
MAIS : en aucun cas un système de protection ne doit s'appuyer sur JavaScript, puisque le code source est toujours lisible par le visiteur. D'autre part, si tu fais des contrôles de saisie en Javascript, il FAUT les doubler par des contrôles côté serveur (en PHP par exemple).
--
Tittom (ça c'est de la signature)
Je confirme que ce n'est pas possible.
Les sites que tu as vus utilisent du JavaScript qui réagit à l'événement "Clic droit" de la souris... Il suffirait que tu désactives JavaScript pour passer outre cette interdiction.
D'une manière générale, dis-toi bien que le JavaScript peut servir à ajouter des effets dynamiques aux pages Web, ou des contrôles de base sur la saisie dans un formulaire.
MAIS : en aucun cas un système de protection ne doit s'appuyer sur JavaScript, puisque le code source est toujours lisible par le visiteur. D'autre part, si tu fais des contrôles de saisie en Javascript, il FAUT les doubler par des contrôles côté serveur (en PHP par exemple).
--
Tittom (ça c'est de la signature)
D'un point de vue sécurité, nous sommes d'accord : les contrôles doivent être faits côté serveur.
D'un point de vue ergonomie et convivialité, il peut être apprécié d'avoir un avertissement par une boîte de dialogue immédiatement après la saisie, plutôt qu'après rechargement de la page.
Il est très agaçant, lorsqu'un serveur rame, de devoir revenir sur sa saisie parcequ'on a oublié de renseigner un champ, par exemple.
Ceci étant dit, faire des contrôles en Javascript *compatibles* sur plusieurs navigateurs et plusieurs plate formes, ça demande de l'attention, car il n'y a rien de plus pénible qu'un formulaire qui ne veut pas se valider sous pretexte que "valeur_nom is not an object, voulez-vous effectuer un débogage ?" ;)
Bref : si contrôles il doit y avoir, ils seront blindés et paufinés côté serveur. Et on peut, éventuellement, en ajouter côté client (en JS), pour que ça soit plus pratique pour le visiteur, au risque de recontrer des pb de compatibilité...
--
Tittom (ça c'est de la signature)
D'un point de vue ergonomie et convivialité, il peut être apprécié d'avoir un avertissement par une boîte de dialogue immédiatement après la saisie, plutôt qu'après rechargement de la page.
Il est très agaçant, lorsqu'un serveur rame, de devoir revenir sur sa saisie parcequ'on a oublié de renseigner un champ, par exemple.
Ceci étant dit, faire des contrôles en Javascript *compatibles* sur plusieurs navigateurs et plusieurs plate formes, ça demande de l'attention, car il n'y a rien de plus pénible qu'un formulaire qui ne veut pas se valider sous pretexte que "valeur_nom is not an object, voulez-vous effectuer un débogage ?" ;)
Bref : si contrôles il doit y avoir, ils seront blindés et paufinés côté serveur. Et on peut, éventuellement, en ajouter côté client (en JS), pour que ça soit plus pratique pour le visiteur, au risque de recontrer des pb de compatibilité...
--
Tittom (ça c'est de la signature)
Comprends pas! A quoi ca sert à ce moment-la de doubler ?
ça peut parfois être bien: l'utilisateur n'a pas besoin d'attendre un aller-retour serveur (submit) pour savoir ce qu'il a merdé.
(Ceci dit, je me méfie du scripting côté client: on ne contrôle jamais bien comment ça s'exécute.)
ça peut parfois être bien: l'utilisateur n'a pas besoin d'attendre un aller-retour serveur (submit) pour savoir ce qu'il a merdé.
(Ceci dit, je me méfie du scripting côté client: on ne contrôle jamais bien comment ça s'exécute.)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour à tous,
Okay pour le "sérieux" du système .htaccess
Pour ce qui est d'un contrôle d'accès par mot de passe, j'aimerais que vous "cassiez" le mot de passe de cette page :
http://www.gerardmelone.firstream.net/~gMCam/pictures.html
C'est fait par Html seul. Le système est super simple (il faut tomber sur la page html que j'attends, sinon erreur 504 !)... nul besoin du bon fournisseur.
Qu'en pensez-vous ?
@12C4
Ipl
Okay pour le "sérieux" du système .htaccess
Pour ce qui est d'un contrôle d'accès par mot de passe, j'aimerais que vous "cassiez" le mot de passe de cette page :
http://www.gerardmelone.firstream.net/~gMCam/pictures.html
C'est fait par Html seul. Le système est super simple (il faut tomber sur la page html que j'attends, sinon erreur 504 !)... nul besoin du bon fournisseur.
Qu'en pensez-vous ?
@12C4
Ipl
Bonjour à tous,
Quelqu'un pour relever mon challenge s'il vous plait ?
J'aimerais savoir ce que vaut ma "protection".
@12C4
Ipl
Quelqu'un pour relever mon challenge s'il vous plait ?
J'aimerais savoir ce que vaut ma "protection".
@12C4
Ipl
Bonjour Ipl,
J'ai jeté un coup d'oeil au code de ta page. Et si j'ai bien compris, tu te sers du nom de ta page comme mot de passe, c'est bien ca ?
Ce qui fait en définitive, que si une de tes pages se picture352.html, ton mot de passe serait, par exemple, 352 ?
J'ai bon ?
Effectivement, ca doit pas etre facile à casser... Et la je vois pas...
Kalamit,
Je ponce donc j'essuie
J'ai jeté un coup d'oeil au code de ta page. Et si j'ai bien compris, tu te sers du nom de ta page comme mot de passe, c'est bien ca ?
Ce qui fait en définitive, que si une de tes pages se picture352.html, ton mot de passe serait, par exemple, 352 ?
J'ai bon ?
Effectivement, ca doit pas etre facile à casser... Et la je vois pas...
Kalamit,
Je ponce donc j'essuie
Bonsoir Kalamit, bonsoir à tous,
Oui, c'est tout à fait çà !
C'est super simple à faire. Trouves-tu que ce soit un truc suffisamment efficace dans le cas de la plupart des sites personnels : photos à partager entre amis, données familiales, etc. ?
Il faut placer un index.html dans le dossier de manière à ce que la liste des pages ne soit pas affichées (toute page existante étant un mot de passe valide ; rien n'empêche de faire un dossier spécial mot de passe et de jouer sur la casse MoTdEpasSE.htm qui route vers la vraie entrée du site)
Là, j'ai mis ce que tu as vu pour des photos familiales.
Je m'étais amusé à protéger un site de Généalogie en demandant de donner le prénom de ma mère : je n'avais pas à distribuer le mot de passe, les personnes de ma famille savaient répondre !
@12C4
Ipl
Oui, c'est tout à fait çà !
C'est super simple à faire. Trouves-tu que ce soit un truc suffisamment efficace dans le cas de la plupart des sites personnels : photos à partager entre amis, données familiales, etc. ?
Il faut placer un index.html dans le dossier de manière à ce que la liste des pages ne soit pas affichées (toute page existante étant un mot de passe valide ; rien n'empêche de faire un dossier spécial mot de passe et de jouer sur la casse MoTdEpasSE.htm qui route vers la vraie entrée du site)
Là, j'ai mis ce que tu as vu pour des photos familiales.
Je m'étais amusé à protéger un site de Généalogie en demandant de donner le prénom de ma mère : je n'avais pas à distribuer le mot de passe, les personnes de ma famille savaient répondre !
@12C4
Ipl
Je suis allé voir ta protection, Ipl :)
j'en avais déjà vu une similaire, et pour ce genre d'utilisation, ça me paraît suffisant.
pour le "cracker", il faudrait tomber sur le bon prénom, ou avoir accès au contenu du répertoire...
au fond, c'est comme si tu demandais au visiteur de taper dircement l'URL http://serveur/repertoire/XXX.html en remplaçant XXX par le mot de passe, sauf que le travail de saisie est pré-mâché par le javascript.
donc tant qu'il n'y a pas de lien qui pointe vers cette page XXX.html, et tant que tu ne la références pas dans un moteur, elle devrait rester secrète :)
--
Tittom (ça c'est de la signature)
j'en avais déjà vu une similaire, et pour ce genre d'utilisation, ça me paraît suffisant.
pour le "cracker", il faudrait tomber sur le bon prénom, ou avoir accès au contenu du répertoire...
au fond, c'est comme si tu demandais au visiteur de taper dircement l'URL http://serveur/repertoire/XXX.html en remplaçant XXX par le mot de passe, sauf que le travail de saisie est pré-mâché par le javascript.
donc tant qu'il n'y a pas de lien qui pointe vers cette page XXX.html, et tant que tu ne la références pas dans un moteur, elle devrait rester secrète :)
--
Tittom (ça c'est de la signature)
Bonsoir Tittom,
Merci pour ton post ! Okay, je retiens que la protection n'est pas mal pour protéger quelques photos... je ne sais plus si c'est ici ou sur EJS (il y a 6 mois) que quelqu'un voulait protéger les photos des enfants d'un club de sports à la demande des parents...
Dis moi Tittom... je me trompe ou tu avais disparu de CCM quelques mois... peut-être que nous n'allons pas dans les mêmes salles... en tous cas, çà fait un moment que je ne t'avais pas croisé !
@12C4
Ipl
Merci pour ton post ! Okay, je retiens que la protection n'est pas mal pour protéger quelques photos... je ne sais plus si c'est ici ou sur EJS (il y a 6 mois) que quelqu'un voulait protéger les photos des enfants d'un club de sports à la demande des parents...
Dis moi Tittom... je me trompe ou tu avais disparu de CCM quelques mois... peut-être que nous n'allons pas dans les mêmes salles... en tous cas, çà fait un moment que je ne t'avais pas croisé !
@12C4
Ipl
Aufaite pour ta premiere question ( tou o debut ).
Le petit 2) g peu etre ta solution.
Vu que ton but a toa c que l'on ne voit pas le code qui "forme" la page !! Donc, tu n'as qua metre des frames et la on verra plus que le code d'insertion des frames
Pour detourner sa il faut enregistrer la page sur son disk dur pui prendre la page principale et regarder la source !!
:)
::... CoOlAgE ...::
Le petit 2) g peu etre ta solution.
Vu que ton but a toa c que l'on ne voit pas le code qui "forme" la page !! Donc, tu n'as qua metre des frames et la on verra plus que le code d'insertion des frames
Pour detourner sa il faut enregistrer la page sur son disk dur pui prendre la page principale et regarder la source !!
:)
::... CoOlAgE ...::
euh je veux pas m'avancer trop la dessus, mais n'est il pas possible de crypter le code source comme on le fait parfois avec les adresses email pour eviter les spams.
Un truc du genre fonction en javascript qui traduit ton cryptage(le mot decriptage aurait ete plus adekate je trouve,lol!) pour le faire afficher en html, moi je dis, ca doit etre possible et ca doit meme deja exister non?
2ement
l'inconvenient de ta soluce ipl c'est que cela necessite autant de mot de passe que de page web, donc necessiter d'avoir une bonne memoire ou alors d'avoir des mots de passe pas trop complique!
a l'epoque ou je tentais de relever ce genre de defit de newbie hacker je me suis retrouve confronter au meme script que le tien ipl!ben ca ma pris 1 journee a le trouver par ce kon appelle du social engenering( ke mon anglais est mauvais aujourd'hui!).bon je te l'accorde j'ai eu beaucoup de chance, mais cela reste neanmoins fragile!a noter que pour ton lien j'ai essaye de voyage a l'interieur du site et j'ai bien aime la precaution kil a pris kan tu tentes d'aller dans l'un des fichiers images tu tombes sur http://www.gerardmelone.firstream.net/~gMCam/
pour ma part j'ai utilise pour un copain un peu de ASP mais effectivement le PHP etant plus facile a trouver chez un hebergeur gratuit internet pourquoi ne pas l'utliser!
LMCT cracker de belin(oh celle la elle est bien pathetique!!)
parfois ce que j'ecris est pathetique
mais alors pas du tout
Un truc du genre fonction en javascript qui traduit ton cryptage(le mot decriptage aurait ete plus adekate je trouve,lol!) pour le faire afficher en html, moi je dis, ca doit etre possible et ca doit meme deja exister non?
2ement
l'inconvenient de ta soluce ipl c'est que cela necessite autant de mot de passe que de page web, donc necessiter d'avoir une bonne memoire ou alors d'avoir des mots de passe pas trop complique!
a l'epoque ou je tentais de relever ce genre de defit de newbie hacker je me suis retrouve confronter au meme script que le tien ipl!ben ca ma pris 1 journee a le trouver par ce kon appelle du social engenering( ke mon anglais est mauvais aujourd'hui!).bon je te l'accorde j'ai eu beaucoup de chance, mais cela reste neanmoins fragile!a noter que pour ton lien j'ai essaye de voyage a l'interieur du site et j'ai bien aime la precaution kil a pris kan tu tentes d'aller dans l'un des fichiers images tu tombes sur http://www.gerardmelone.firstream.net/~gMCam/
pour ma part j'ai utilise pour un copain un peu de ASP mais effectivement le PHP etant plus facile a trouver chez un hebergeur gratuit internet pourquoi ne pas l'utliser!
LMCT cracker de belin(oh celle la elle est bien pathetique!!)
parfois ce que j'ecris est pathetique
mais alors pas du tout
rahhhhhhhh ca a merde heureusement ke jefais toujours un copier de ce ke je veux poster avant de faire Ajouter!!!
donc voila ce ke je disais:
euh je veux pas m'avancer trop la dessus, mais n'est il pas possible de crypter le code source comme on le fait parfois avec les adresses email pour eviter les spams.
Un truc du genre fonction en javascript qui traduit ton cryptage(le mot decriptage aurait ete plus adekate je trouve,lol!) pour le faire afficher en html, moi je dis, ca doit etre possible et ca doit meme deja exister non?
2ement
l'inconvenient de ta soluce ipl c'est que cela necessite autant de mot de passe que de page web, donc necessiter d'avoir une bonne memoire ou alors d'avoir des mots de passe pas trop complique!
a l'epoque ou je tentais de relever ce genre de defit de newbie hacker je me suis retrouve confronter au meme script que le tien ipl!ben ca ma pris 1 journee a le trouver par ce kon appelle du social engenering( ke mon anglais est mauvais aujourd'hui!).bon je te l'accorde j'ai eu beaucoup de chance, mais cela reste neanmoins fragile!a noter que pour ton lien j'ai essaye de voyage a l'interieur du site et j'ai bien aime la precaution kil a pris kan tu tentes d'aller dans l'un des fichiers images tu tombes sur http://www.gerardmelone.firstream.net/~gMCam/
pour ma part j'ai utilise pour un copain un peu de ASP mais effectivement le PHP etant plus facile a trouver chez un hebergeur gratuit internet pourquoi ne pas l'utliser!
LMCT cracker de belin(oh celle la elle est bien pathetique!!)
parfois ce que j'ecris est pathetique
mais alors pas du tout
donc voila ce ke je disais:
euh je veux pas m'avancer trop la dessus, mais n'est il pas possible de crypter le code source comme on le fait parfois avec les adresses email pour eviter les spams.
Un truc du genre fonction en javascript qui traduit ton cryptage(le mot decriptage aurait ete plus adekate je trouve,lol!) pour le faire afficher en html, moi je dis, ca doit etre possible et ca doit meme deja exister non?
2ement
l'inconvenient de ta soluce ipl c'est que cela necessite autant de mot de passe que de page web, donc necessiter d'avoir une bonne memoire ou alors d'avoir des mots de passe pas trop complique!
a l'epoque ou je tentais de relever ce genre de defit de newbie hacker je me suis retrouve confronter au meme script que le tien ipl!ben ca ma pris 1 journee a le trouver par ce kon appelle du social engenering( ke mon anglais est mauvais aujourd'hui!).bon je te l'accorde j'ai eu beaucoup de chance, mais cela reste neanmoins fragile!a noter que pour ton lien j'ai essaye de voyage a l'interieur du site et j'ai bien aime la precaution kil a pris kan tu tentes d'aller dans l'un des fichiers images tu tombes sur http://www.gerardmelone.firstream.net/~gMCam/
pour ma part j'ai utilise pour un copain un peu de ASP mais effectivement le PHP etant plus facile a trouver chez un hebergeur gratuit internet pourquoi ne pas l'utliser!
LMCT cracker de belin(oh celle la elle est bien pathetique!!)
parfois ce que j'ecris est pathetique
mais alors pas du tout
Je vais juste vous décrire la méthode qu'on utilise sur un gros site de commerce électronique (qui brasse quelques millions d'euros par an).
Et ça a été validé par nos responsables sécurité qui sont limite paranos:
1) tout le site n'est accessible qu'en HTTPS (HTTP chiffré par SSL).
2) la personne se connecte sur une page d'accueil (login, mot de passe). Ce mot de passe est vérifié, et si c'est bon, on place dans un cookie un numéro de session (valide pendant une durée limitée).
3) lors de l'accès à chaque page du site, on vérifie que le cookie contient l'identifiant de session.
(Le site est fait en ASP)
Ainsi:
1) l'utilisateur ne peut pas accéder à une page si il n'a pas le bon numéro de session dans son cookie.
2) l'utilisateur ne peut pas avoir de numéro de session correct si il ne s'est pas identifié sur la page d'accueil (login/mot de passe).
3) personne ne peut voler le cookie de session de l'internaute (il n'est jamais enregistré sur disque, et il ne transite jamais en clair sur le réseau (HTTPS)).
Tout utilisateur qui n'a pas de cookie de session avec une valeur valide se fait jeter.
C'est parfaitement sécurisé, mais je comprend que tout le monde n'ait pas les moyens de mettre en place un site en HTTPS (avec le nom de domaine et les certificats qui vont bien) et de développer des vérifications de droits utilisateur et session dans chaque page... :-)
Notre système est plus sûr que des systèmes comme Hotmail ou Yahoo (parceque avec ces systèmes, il y a toujours la possibilité de sniffer le réseau local pour piquer un cookie de session pendant que l'utilisateur est connecté).
Voilà :-)
Je peux expliquer un peu plus longuement si ça intéresse.
Ce genre de sécurisation peut très bien être fait également avec du PHP ou autre.
Et ça a été validé par nos responsables sécurité qui sont limite paranos:
1) tout le site n'est accessible qu'en HTTPS (HTTP chiffré par SSL).
2) la personne se connecte sur une page d'accueil (login, mot de passe). Ce mot de passe est vérifié, et si c'est bon, on place dans un cookie un numéro de session (valide pendant une durée limitée).
3) lors de l'accès à chaque page du site, on vérifie que le cookie contient l'identifiant de session.
(Le site est fait en ASP)
Ainsi:
1) l'utilisateur ne peut pas accéder à une page si il n'a pas le bon numéro de session dans son cookie.
2) l'utilisateur ne peut pas avoir de numéro de session correct si il ne s'est pas identifié sur la page d'accueil (login/mot de passe).
3) personne ne peut voler le cookie de session de l'internaute (il n'est jamais enregistré sur disque, et il ne transite jamais en clair sur le réseau (HTTPS)).
Tout utilisateur qui n'a pas de cookie de session avec une valeur valide se fait jeter.
C'est parfaitement sécurisé, mais je comprend que tout le monde n'ait pas les moyens de mettre en place un site en HTTPS (avec le nom de domaine et les certificats qui vont bien) et de développer des vérifications de droits utilisateur et session dans chaque page... :-)
Notre système est plus sûr que des systèmes comme Hotmail ou Yahoo (parceque avec ces systèmes, il y a toujours la possibilité de sniffer le réseau local pour piquer un cookie de session pendant que l'utilisateur est connecté).
Voilà :-)
Je peux expliquer un peu plus longuement si ça intéresse.
Ce genre de sécurisation peut très bien être fait également avec du PHP ou autre.
Je détail:
Pour faire du HTTPS proprement, il vaut mieux:
1) avoir un nom de domaine à soi (c'est payant)
2) générer un certificat SSL pour ce site (c'est gratuit)
3) faire signer ce certificat par un tier (VeriSign, Thawte...) (C'est généralement payant).
Les étapes 1 et 3 ne sont pas obligatoires, mais ça simplifie grandement les choses (pas de warnings sur les certificats du côté de l'utilisateur, qui n'y comprend généralement rien).
Là, on a déjà de quoi faire du HTTPS proprement, c'est à dire que la moindre information échangée entre le navigateur et le serveur sera chiffrée (donc impossible à espionner ou sniffer sur le réseau).
Maintenant que vous avez une connexion sûre, il faut controller ce que l'utilisateur a le droit de faire ou non sur le site.
Pour ça, on attribut à chaque utilisateur un login, un mot de passe et la liste de ce qu'il a le droit de faire/voir sur le site (on stock généralement ça dans une base de données.)
Petit problème: le protocole HTTP (ou HTTPS) n'est pas un protocole en mode connecté, c'est à dire que chaque fois que le serveur HTTP voit une requête arriver, il ne sait pas de quel utilisateur ça vient.
Réflexe : "Ben on a qu'à mettre le login de l'utilisateur dans un cookie !".
Mauvaise idée: l'utilisateur pourrait modifier son cookie et donc se faire passer pour quelqu'un d'autre. Dangereux.
Solution:
A chaque nouvelle connexion (login/mot de passe), on donne à l'utilisateur un cookie contenant un numéro unique tiré au hasard (qu'on stock en base de données).
Ce numéro est appelé "identifiant de session", car il n'est valable que pour cette session de l'utilisateur sur le site.
A sa prochaine connexion, l'utilisateur aura un nouveau numéro de session.
(Sous Windows, c'est typiquement un GUID).
Ainsi, chaque fois qu'une requête arrive sur le serveur, elle est accompagnée d'un cookie contenant le numéro de session: on sait de quel utilisateur il s'agit. On peut donc contrôller si il a accès ou non à la page qu'il demande.
Ce numéro de session expire au bout d'un certain temps, ou quand l'utilisateur clic sur "Logout" sur votre site (-> destruction du cookie).
Pourquoi faire comme ça ?
Parceque ainsi le mot de passe n'est jamais envoyé ou stocké chez l'utilisateur. Il reste bien au chaud sur le serveur.
Ce système d'identifiant de session est très largement utilisé (sans HTTPS): il suffit de regarder le contenu des entêtes HTTP quand vous allez sur Yahoo! Mail, Hotmail, Imp...
Il arrive que les numéros de session soient stockés dans les URLs plutôt que dans le cookie, mais ça n'est pas une idée excellente:
- L'utilisateur ne pourra pas bookmarker correctement la page
- c'est pas beau dans la barre d'adresse
- les proxy vont garder la trace du numéro de session (ce qui ne sera pas le cas si il est stocké dans un cookie).
Notez que ce système d'identification par numéro de session nécessite du scripting côté serveur (ASP, PHP...) pour contrôller (à chaque page) que le numéro de session existe, qu'il n'est pas expiré, qu'il appartient à l'utilisateur X et que cet utilisateur a bien le droit de voir la page en question.
Pour faire du HTTPS proprement, il vaut mieux:
1) avoir un nom de domaine à soi (c'est payant)
2) générer un certificat SSL pour ce site (c'est gratuit)
3) faire signer ce certificat par un tier (VeriSign, Thawte...) (C'est généralement payant).
Les étapes 1 et 3 ne sont pas obligatoires, mais ça simplifie grandement les choses (pas de warnings sur les certificats du côté de l'utilisateur, qui n'y comprend généralement rien).
Là, on a déjà de quoi faire du HTTPS proprement, c'est à dire que la moindre information échangée entre le navigateur et le serveur sera chiffrée (donc impossible à espionner ou sniffer sur le réseau).
Maintenant que vous avez une connexion sûre, il faut controller ce que l'utilisateur a le droit de faire ou non sur le site.
Pour ça, on attribut à chaque utilisateur un login, un mot de passe et la liste de ce qu'il a le droit de faire/voir sur le site (on stock généralement ça dans une base de données.)
Petit problème: le protocole HTTP (ou HTTPS) n'est pas un protocole en mode connecté, c'est à dire que chaque fois que le serveur HTTP voit une requête arriver, il ne sait pas de quel utilisateur ça vient.
Réflexe : "Ben on a qu'à mettre le login de l'utilisateur dans un cookie !".
Mauvaise idée: l'utilisateur pourrait modifier son cookie et donc se faire passer pour quelqu'un d'autre. Dangereux.
Solution:
A chaque nouvelle connexion (login/mot de passe), on donne à l'utilisateur un cookie contenant un numéro unique tiré au hasard (qu'on stock en base de données).
Ce numéro est appelé "identifiant de session", car il n'est valable que pour cette session de l'utilisateur sur le site.
A sa prochaine connexion, l'utilisateur aura un nouveau numéro de session.
(Sous Windows, c'est typiquement un GUID).
Ainsi, chaque fois qu'une requête arrive sur le serveur, elle est accompagnée d'un cookie contenant le numéro de session: on sait de quel utilisateur il s'agit. On peut donc contrôller si il a accès ou non à la page qu'il demande.
Ce numéro de session expire au bout d'un certain temps, ou quand l'utilisateur clic sur "Logout" sur votre site (-> destruction du cookie).
Pourquoi faire comme ça ?
Parceque ainsi le mot de passe n'est jamais envoyé ou stocké chez l'utilisateur. Il reste bien au chaud sur le serveur.
Ce système d'identifiant de session est très largement utilisé (sans HTTPS): il suffit de regarder le contenu des entêtes HTTP quand vous allez sur Yahoo! Mail, Hotmail, Imp...
Il arrive que les numéros de session soient stockés dans les URLs plutôt que dans le cookie, mais ça n'est pas une idée excellente:
- L'utilisateur ne pourra pas bookmarker correctement la page
- c'est pas beau dans la barre d'adresse
- les proxy vont garder la trace du numéro de session (ce qui ne sera pas le cas si il est stocké dans un cookie).
Notez que ce système d'identification par numéro de session nécessite du scripting côté serveur (ASP, PHP...) pour contrôller (à chaque page) que le numéro de session existe, qu'il n'est pas expiré, qu'il appartient à l'utilisateur X et que cet utilisateur a bien le droit de voir la page en question.
bon maintenant seb tu te calme, tu arrete de t'emballer et tu relis pour kel application le mec avait demande ca!c'est pour un
CLUB DE PING PONG!!!!tu crois vraimet que c'est adversaire vont aller prendre un sniffer pour voir ce ki se passe sur la trame du club de ping pong de bourg la mouralette!!!
bon sinon je suis parfaitement d'accord avec toi!j'ai fait installer ca dans ma boite pour un extranet(enfin une sorte 'extranet car le vrai extranet on l'a foutu en vpn)a ouai y a ca aussi faut ke tu mette du vpn pour ton club!lol
nan plus serieusement j'arrete de deconner!je crois que pour son appli comme cela avait ete dit plus haut du php ou de l'asp c'est ce kil y a de plus simple a mettre en place et de suffisament sur pour le genre de securite dont tu as besoin!de plus tu trouveras bcp de script sur la toile!
et puis si c'est tellement secret ta ka pas le mettre en ligne!c'est vrai koi!ca sert a koi ke tu veuille mettre les photos en ligne si tu veux pas ke kelkun les voit!lol
m'enfin bon je voulais dire a seb ke c'est toujours un plaisir de lire ses explications toujours bien detaille et tres clair!
mais prend pas la grosse tete ton site il est tout pourri d'abord!lol ;0)
allez bonne soiree
LMCT
parfois ce que j'ecris est pathetique
mais alors pas du tout
CLUB DE PING PONG!!!!tu crois vraimet que c'est adversaire vont aller prendre un sniffer pour voir ce ki se passe sur la trame du club de ping pong de bourg la mouralette!!!
bon sinon je suis parfaitement d'accord avec toi!j'ai fait installer ca dans ma boite pour un extranet(enfin une sorte 'extranet car le vrai extranet on l'a foutu en vpn)a ouai y a ca aussi faut ke tu mette du vpn pour ton club!lol
nan plus serieusement j'arrete de deconner!je crois que pour son appli comme cela avait ete dit plus haut du php ou de l'asp c'est ce kil y a de plus simple a mettre en place et de suffisament sur pour le genre de securite dont tu as besoin!de plus tu trouveras bcp de script sur la toile!
et puis si c'est tellement secret ta ka pas le mettre en ligne!c'est vrai koi!ca sert a koi ke tu veuille mettre les photos en ligne si tu veux pas ke kelkun les voit!lol
m'enfin bon je voulais dire a seb ke c'est toujours un plaisir de lire ses explications toujours bien detaille et tres clair!
mais prend pas la grosse tete ton site il est tout pourri d'abord!lol ;0)
allez bonne soiree
LMCT
parfois ce que j'ecris est pathetique
mais alors pas du tout
D'ailleurs si vous vous loguez sur CCM, on vous attribue également un numéro de session.
(Un fois logué, dans chaque page que vous demandez un page sur CCM, votre navigateur envoie votre numéro de session (stocké dans un cookie), par exemple:
Cookie: id=29784; in=22092371020453937 )
(Un fois logué, dans chaque page que vous demandez un page sur CCM, votre navigateur envoie votre numéro de session (stocké dans un cookie), par exemple:
Cookie: id=29784; in=22092371020453937 )
Tant pis pour fou2dodie, je demande une precision.
Quelle est la difference entre l'utilisation de session et de cookie ?
Je croyais que l'utilisation de session n'était possible qu'avec du php4, ce qui n'est pas le cas de CCM !
Une explication stp ? :-)
Kalamit,
Je ponce donc j'essuie
PS: Et pis c'est pas vrai ton site, il est pas pourri d'abord, na !
Quelle est la difference entre l'utilisation de session et de cookie ?
Je croyais que l'utilisation de session n'était possible qu'avec du php4, ce qui n'est pas le cas de CCM !
Une explication stp ? :-)
Kalamit,
Je ponce donc j'essuie
PS: Et pis c'est pas vrai ton site, il est pas pourri d'abord, na !
Un cookie ne sert qu'à stocker dans le navigateur une petite quantité d'information pour cet utilisateur sur ce site (ses préférences, par exemple).
On peut trouver d'autres moyens de stocker le numéro de session, mais les cookies sont vraiment faits pour ça !
Pour les sessions, rien de spécifique à php4 !
Je suppose que PHP4 doit générer automatiquement des numéros de sessions, alors qu'il faut se le bricoler soi-même en PHP3.
Mais c'est pas sorcier :-)
On peut trouver d'autres moyens de stocker le numéro de session, mais les cookies sont vraiment faits pour ça !
Pour les sessions, rien de spécifique à php4 !
Je suppose que PHP4 doit générer automatiquement des numéros de sessions, alors qu'il faut se le bricoler soi-même en PHP3.
Mais c'est pas sorcier :-)
Merci de ta réponse, Sebsauvage.
D'ailleurs pour completer, j'ai trouvé un bon petit cours sur les sessions à cette adresse : http://phpdebutant.com/article47.php
Pour ceux que ca interesse !!!
Kalamit,
Je ponce donc j'essuie
D'ailleurs pour completer, j'ai trouvé un bon petit cours sur les sessions à cette adresse : http://phpdebutant.com/article47.php
Pour ceux que ca interesse !!!
Kalamit,
Je ponce donc j'essuie
bon maintenant seb tu te calme, tu arrete de t'emballer et tu relis pour kel application le mec avait demande ca!c'est pour un
CLUB DE PING PONG!!!
Bah oui mais moi on me pose des questions je répond :)
CLUB DE PING PONG!!!
Bah oui mais moi on me pose des questions je répond :)
Salut tous les excités,
Ce qui est marrant avec vous et moi, c' est qu'à chaque fois que je pose une question, ça devient vite une polémique.
Je voudrais dire à l'autre taré qui me demande l'intérêt de mettre des photos qu'on ne veut pas laisser voir, qu'il ne s'agit pas de photos. Dommage il faudra qu'il achète une revue pour se masser. Si je veux mettre une partie du site hors d'atteinte des visiteurs non-membres, c'est parce que mon président l'a souhaité. Si ça ne tenait qu'à moi... Je m'en tappe.Par contre le site sert aussi et surtout à signaler aux membres toutes les nouveautés et ainsi économiser des timbres.
Maintenant, s'il faut avoir fait 5 ans d'unif pour protéger ses données il a raison de ne pas les diffuser... C' est bien plus facile, en effet.
Comme la plupart des gens normaux ont d'autres plaisirs que de s'abimer les yeux à longueur de journée devant un ordi, je vais copié le truc d'un gars sympa ( voir plus haut ).
Pour le reste, je remercie chaleureusement tous les intervanants et leur souhaite encore bien des choses...
A notre prochaine polémique, alors !!
Le temps de chercher un peu... Et je vous envois ça. LOL !
@+
Ce qui est marrant avec vous et moi, c' est qu'à chaque fois que je pose une question, ça devient vite une polémique.
Je voudrais dire à l'autre taré qui me demande l'intérêt de mettre des photos qu'on ne veut pas laisser voir, qu'il ne s'agit pas de photos. Dommage il faudra qu'il achète une revue pour se masser. Si je veux mettre une partie du site hors d'atteinte des visiteurs non-membres, c'est parce que mon président l'a souhaité. Si ça ne tenait qu'à moi... Je m'en tappe.Par contre le site sert aussi et surtout à signaler aux membres toutes les nouveautés et ainsi économiser des timbres.
Maintenant, s'il faut avoir fait 5 ans d'unif pour protéger ses données il a raison de ne pas les diffuser... C' est bien plus facile, en effet.
Comme la plupart des gens normaux ont d'autres plaisirs que de s'abimer les yeux à longueur de journée devant un ordi, je vais copié le truc d'un gars sympa ( voir plus haut ).
Pour le reste, je remercie chaleureusement tous les intervanants et leur souhaite encore bien des choses...
A notre prochaine polémique, alors !!
Le temps de chercher un peu... Et je vous envois ça. LOL !
@+
2 reponses a faire
a kalamit: tu as ecrit Tant pis pour fou2dodie, je demande une precision. mais je n'ai rien contre ca au contraire!je suis meme sur ke c'est le mieux a faire car je peux en apprendre par l'intermediare des kestions des autres!une kestion n'est jamais stupide!il n'y a ke le comportement de celui ki y repond ki peut l'etre(oh c'est bo fo je la note celle la)
a raq1:de la part du tare!je te precise sans vouloir t'offenser que c'est kun site perso pour un club de ping pong ton truc!c'est pas un truc secret defense ou un site de commerce electronique ou des numero de cartes de credit vont transiter!
alors bien sur ke toutes les solutions de seb sont bien!c'est meme ce ke l'on utilise courament!mais si t'as pose la question c'est que tu ne le savais pas,non?!mainteant ce ke t'as propose seb c'est kan meme la grosse usine a gaz pour un site perso!d'une part kom je te l'ai dit plus haut le protocol SSL va proteger la transmission de tes donnees en les cryptant par systeme de cle(mais ca le court de CCM te l'explikera mieux ke moi,lol)et a moins ke tes adversaires s'amusent a surveiller tous tes fait et gestes tu n'en a absolument pas besoin!de plus cela necessiterais que tu es ton propre serveur et je ne crois pas ke tu l'ais mentionne kelkepart(mais j'ai peut etre mal lu, mes yeux abimes a longueur de journee devant l'ecran me jouent parfois des tours)maintenant tu peux sans doute mette du SSL par l'intermediaire d'un hebergeur mais tu vas raker!
Encore une fois c'est un site de page perso!ensuite il faudra que tu cree tes propres certificats ou alors la encore tu va raker parce ke Verisign pour info c'est 1500euro la premiere annee et 1000euro/ an apres. Mais bon je suppose ke si tu me traite de tare(limite debile)c'est ke tu savais deja tout ca!
Maintenant pour ma part j'ai toujours tous pris avec humour et tout mes propos etant cense l'etre.Kan il pouvait y avoir un doute je mettais tjs une phrase gentille a la fin!
alors la prochaine ke kelkun pose une kestion tu as raison je ne dirais rien je le laisserais mettre en place son usine a gaz et apres seulement je lui donnerais mon conseil!
A mes yeux si tu postes un truc sur un forum c'est ke tu veux plusieurs avis,non?!d'ailleurs on ne peut evaluer une solution que par la comparaison a mes yeux!alors la prochaine fois evite de m'insulter!(et puis la reflection de me masser devant tes photos etait meme de trop je trouve)
OH pour info je suis aussi physicien!vas tu dire ke je me bousille les yeux devant un plasma de spectrometre de masse optique!essaye un jour tu verras on bonze vite(j'avais d'ailleurs l'air con lors de ma soutenance avec le visage tous crame)
a part ca bonne journee kan meme!et si tas des kestions je serais toujours ravi si je le peux de t'aider(a condition de ne plus me faire insulter ;0))
LMCT (etudiant-physicien-futur informaticien! lol!)pas tres content de se faire insulter alors kil prevenait!
parfois ce que j'ecris est pathetique
mais alors pas du tout
a kalamit: tu as ecrit Tant pis pour fou2dodie, je demande une precision. mais je n'ai rien contre ca au contraire!je suis meme sur ke c'est le mieux a faire car je peux en apprendre par l'intermediare des kestions des autres!une kestion n'est jamais stupide!il n'y a ke le comportement de celui ki y repond ki peut l'etre(oh c'est bo fo je la note celle la)
a raq1:de la part du tare!je te precise sans vouloir t'offenser que c'est kun site perso pour un club de ping pong ton truc!c'est pas un truc secret defense ou un site de commerce electronique ou des numero de cartes de credit vont transiter!
alors bien sur ke toutes les solutions de seb sont bien!c'est meme ce ke l'on utilise courament!mais si t'as pose la question c'est que tu ne le savais pas,non?!mainteant ce ke t'as propose seb c'est kan meme la grosse usine a gaz pour un site perso!d'une part kom je te l'ai dit plus haut le protocol SSL va proteger la transmission de tes donnees en les cryptant par systeme de cle(mais ca le court de CCM te l'explikera mieux ke moi,lol)et a moins ke tes adversaires s'amusent a surveiller tous tes fait et gestes tu n'en a absolument pas besoin!de plus cela necessiterais que tu es ton propre serveur et je ne crois pas ke tu l'ais mentionne kelkepart(mais j'ai peut etre mal lu, mes yeux abimes a longueur de journee devant l'ecran me jouent parfois des tours)maintenant tu peux sans doute mette du SSL par l'intermediaire d'un hebergeur mais tu vas raker!
Encore une fois c'est un site de page perso!ensuite il faudra que tu cree tes propres certificats ou alors la encore tu va raker parce ke Verisign pour info c'est 1500euro la premiere annee et 1000euro/ an apres. Mais bon je suppose ke si tu me traite de tare(limite debile)c'est ke tu savais deja tout ca!
Maintenant pour ma part j'ai toujours tous pris avec humour et tout mes propos etant cense l'etre.Kan il pouvait y avoir un doute je mettais tjs une phrase gentille a la fin!
alors la prochaine ke kelkun pose une kestion tu as raison je ne dirais rien je le laisserais mettre en place son usine a gaz et apres seulement je lui donnerais mon conseil!
A mes yeux si tu postes un truc sur un forum c'est ke tu veux plusieurs avis,non?!d'ailleurs on ne peut evaluer une solution que par la comparaison a mes yeux!alors la prochaine fois evite de m'insulter!(et puis la reflection de me masser devant tes photos etait meme de trop je trouve)
OH pour info je suis aussi physicien!vas tu dire ke je me bousille les yeux devant un plasma de spectrometre de masse optique!essaye un jour tu verras on bonze vite(j'avais d'ailleurs l'air con lors de ma soutenance avec le visage tous crame)
a part ca bonne journee kan meme!et si tas des kestions je serais toujours ravi si je le peux de t'aider(a condition de ne plus me faire insulter ;0))
LMCT (etudiant-physicien-futur informaticien! lol!)pas tres content de se faire insulter alors kil prevenait!
parfois ce que j'ecris est pathetique
mais alors pas du tout
A fou2dodie : mais je n'ai rien contre ca au contraire!
Je plaisantais... :-)
A raq1 : Tu devrais pas te plaindre, tu as obtenu de nombreuses réponses sans apporter toi meme de contributions.
Alors mefie toi, si u continues à traiter de taré les gens qui t'aident, tu pourrais devenir vite indésirable. CQFD.
Kalamit,
Je ponce donc j'essuie
Je plaisantais... :-)
A raq1 : Tu devrais pas te plaindre, tu as obtenu de nombreuses réponses sans apporter toi meme de contributions.
Alors mefie toi, si u continues à traiter de taré les gens qui t'aident, tu pourrais devenir vite indésirable. CQFD.
Kalamit,
Je ponce donc j'essuie
En fait il m'arrive parfois d'aller sur des sites où les images et le code sont inaccessibles.
Comme je n'arrivais pas à faire référencer mon site bien que j'aie mis les meta nécessaires, je suis allé sur un site qu'on voit 2x a la suite dans google ou ailleurs et je me suis dit qu'ils zvzient certainement autre chose dans leu code . Et là, impossible?
Alors, comment font-ils ?
Je gère le site de mon club de ping-pong et j'ai fait un scrip qui demende un mot de passe pour accédé aux compositions d'équipes.
Pour ne pas que nos adversaires connaissent celle-ci avant de nous rencontrer et pouvoir se renforcer.
Quand je suis tomb" sur la form (style win ) qui me demande le mot de passe, j'ai fait afficher le code et j'ai trouvé le mot de passe.
Je voudrais rendre cette manoeuvre impossible
Peux-tu m'aider
Merci
Je pense que tu as fait du Javascript pour ta partie "privé". Il faut abandonner de toute urgence le Javascript pour ce genre de chose.
Il faut preferer les .htaccess. Tout cela dépend bien sur de ton hebergeur. Cependant, tu peux trouver tout un cours la-dessus, ici: http://phpdebutant.com/article51.php
Si il y a quelque chose que tu ne comprends pas, n'hesite pas à poser des questions.
Bon courage, a+,
Kalamit,
Je ponce donc j'essuie