PROTEGER UNE PAGE PAR MOT DE PASSE

Commentaire de Palleas_44 le 19/07/2006 22:11:23

Ca ne sert absolument à rien j'suis désolé....

Commentaire de keyloger666 le 20/07/2006 08:30:18

a mon avis ce code est plus la pour servir d'appui pour l'apprentissage du php que autre chose par ce que j'avais fais ça il y a 3 mois j'etais vraiment dans mes debuts et j'aurais bien aimé avoir un modele pour corriger les fautes que j'avais faties OK?

Commentaire de Palleas_44 le 20/07/2006 08:37:29

Et si je vais directement sur pageprotegee.php ?

Commentaire de jdalton42 le 20/07/2006 10:04:16

bien-sûr qu'il y a moyen d'avoir l'adresse de cette page, et je suis de l'avis de tout le monde, sert a rien! a la limite, tu mets ta page a la place du header(location  (tu mets ton code) elle sera directement protégée...

Commentaire de jdalton42 le 20/07/2006 10:53:48

lol sa change rien, sa reviens au meme... la page est pas protégée, tu fais ainsi et c'est bon:

<?php
if (isset($_POST['code']))
{
    if ($_POST['code']=='votrecode')
    {
?>

ICI TU METS LE CODE DE TA PAGE

<?php
    } else {
        ?>
        <html>
        <head>
        <title>Document sans titre</title>
        <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
        </head>
        
        <body>
        Code eronné <br/>
        A nouveau entrez le code d'acces
        <form action="acces.php" method="post">
        Code d'acces:
        <input type="text" name="code">
        <input type="submit">
        </form>
        
        </body>
        </html>
        <?php
    }
    
} else {
    ?>
    <html>
    <head>
    <title>Document sans titre</title>
    <meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
    </head>
    
    <body>
    Entrez le code d'acces
    <form action="acces.php" method="post">
    Code d'acces:
    <input type="text" name="code">
    <input type="submit">
    </form>
    
    </body>
    </html>
<?php
}
?>

Commentaire de malalam le 20/07/2006 13:58:50 administrateur CS

Hello,

les htaccess, c'est pour les chiens...?

Commentaire de malalam le 20/07/2006 15:37:00 administrateur CS

Ah bon?

<Files>...</Files>

Il est tout à fait possible de filtrer sur un fichier, les permissions allouées dans un dossier. OU plusieurs. Voire même plusieurs filtres différents.

Commentaire de keyloger666 le 20/07/2006 16:29:11

mci Sannazzarotiti
je vous assure que cette source est vachement bien pour l'aprentissage du php (le votre remonte peut etre a trop longtemps pour vous en rapeller ;-)

Commentaire de malalam le 20/07/2006 17:59:58 administrateur CS

Outre le fait qu'effectivement, ça ne protège pas grandchose, il y a autre chose qui me gène, quand on parle d'utilité pour les débutants : c'est mal codé. Et ça, ce n'est pas rendre service aux débutants.
<? au lieu de <?php
html très approximatif (balises non fermées)
redondance (2 fois le même formulaire)

Commentaire de malalam le 21/07/2006 09:01:24 administrateur CS

Je ne parlaius pas de la balise html, mais des input.

Commentaire de Palleas_44 le 21/07/2006 10:51:47

J'vois vraiment pas l'interet d'utiliser une source comme celle la ! Il y a des méthodes faites pour ca : htaccess, alors utilisez les ! Ca ne sert à rien de réinventer la roue :/

Commentaire de Sannazzarotiti le 21/07/2006 10:56:03

tu parle de quel sources au fait (celle du commentaire ou celle postez [ou les 2])?

Commentaire de kankrelune le 21/07/2006 14:37:57

<?php echo 'Hello World !'; ?>

Personnellement, bien que l'intention soit bonne, je pense que ça fait tout sauf aider les débutants ce genre de code... mais bon... ne dit on pas que c'est l'intention qui compte... .. .

@ tchaOo°

Commentaire de Sannazzarotiti le 22/07/2006 23:14:08

avce les codes des commentaires la source devient un peu plus securiser. Essai de hacker ce systeme pour voir ;) (systeme qui met le code sources directement dans la page web et non pas qui la redirige)

Commentaire de Sannazzarotiti le 23/07/2006 10:28:23

non mais il est clair qu'il doit reecrire le code (rapidement car pour l'instant sert pas a grand chose). IL peut s'inspirer des commentaires

Commentaire de codefalse le 25/07/2006 20:19:53 administrateur CS

bonjour à tous
je rejoint votre discussion du c'est utile pour les débutants vs c'est vraiment inutile pour dire que vous faites une fixette sur la sécurité.
En quoi ce script n'est pas sécurisé, c'est quoi pour vous sécurisé, mettre des sessions partout avec des htaccess ? dans ce cas vous avez oublié de faire une connexion ssh en 256 bit ?!!!!!!!
Une protection basique comme celle-ci suffit largement à bloquer une bonne partie des personnes qui veulent acceder a des zones interdites !

Mais j'aimerai avoir un exemple de ce que vous prenez pour une page sécurisé histoire de voir un peu ...
merci :)

Commentaire de codefalse le 26/07/2006 00:55:12 administrateur CS

je ne suis pas énervé :)
je rigole juste sur le fait que quand quelqu'un poste un script, il y a tjs des gens pour critiquer l'inutilité du post. Pourtant, si la personne le juge interessant, c'est que déjà pour elle même, il est interessant, alors à quoi bon critiquer ... mais bon.

Donc les critiques chuis totalement pour, sauf si la critique se résume à un "c'est nul", "inutile !" et yen a pas mal sur ce script, qui même s'il n'est pas tres puissant, et qu'il s'adresse à un niveau débutant, je suis sur qu'il trouvera bien le bonheur d'une personne à la quete d'une protection basique. mais bon, comme toujours, ca ne reste que mon point de vue ...

Commentaire de Sannazzarotiti le 26/07/2006 06:15:04

header('Location:pageprotegee.php');

il suffit que j'aille a pageprotegee.php sans passer par le formulaire. C'est sa qui n'est pas securiser. Perso, j'ai donner mes conseil pour ameliorer le code et jamais dit nul, inutile car je respecte le travail des autres (meme basic, si travail il  y a).

Commentaire de ScripteurPermanent le 26/07/2006 09:36:21

(d'aileurs la personne qui a mis 1/10 aurait mieux fait d'attendre que le scripte soit réecris !!!)

Commentaire de Palleas_44 le 26/07/2006 21:37:52

C'est ca que je comprend pas, "si le visiteur ne connait rien à l'informatique, c'est bon", j'aime pas cette phrase, je suis un adepte de l'optimisation et ce genre de phrase m'oripile, avis personnel ^^

Commentaire de codefalse le 26/07/2006 23:52:08 administrateur CS

Sannazzarotiti, le truc par rapport a la redirection du header, c'est que si tu veux acceder a la page protégée sans passer par le formulaire, tu peux, ok, mais seulement si tu connais le nom de la page, car sinon, si tu va sur un site sans connaitre le nom de la page protégé, tu pourra pas y acceder (apres, si tu accede une fois et que tu garde le lien, ok tu ne passera plus par la page d'acces)

:)

Commentaire de kankrelune le 27/07/2006 16:14:15

[quote="keyloger666"]quelqu'un qui veut proteger sa page contre des gens ne connaissant rien a l'informatique[/quote]

Ce que tu n'a pas compris c'est que ceux qui tente d'accéder au pages interdites avec de mauvaises intentions c'est rarement ceux qui ne connaissent rien à l'informatique... .. .

[quote="codeFalse]Une protection basique comme celle-ci suffit largement à bloquer une bonne partie des personnes qui veulent acceder a des zones interdites ![/quote]

Cf réponse précédente... en terme de sécurité soit on bloque tout le monde soit autant bloquer personne... .. .

les problèmes de la source comme précédament dit... .. .

-1- facilement contournable en allant directement sur la page qui doit être protégée... ce n'est pas comme ça qu'il faut procéder... la page à protéger doit inclure le fichier d'authentification au tout début si l'internaute n'est pas loggé l'execution de la page est stoppé laissant apparaitre le formulaire d'identification... .. .

-2- la modularité du script... mieux vaut stocker le nom de membres et leur pass dans un fichier à part pour une meilleur mise à jour... il peut être interessant si un jour tu veux accréditer plusieurs personnes de mettre ça dans un tableau...

$lesMembres = array(
                 'nom_du_membre' => 'pass',
                  etc...
                 );

-3- aucune donnée d'authentification n'est créée (via les sessions),  ce qui obligera le membre à se reloguer s'il change de page entre temps, s'il recharge la page ou s'il y a plusieurs pages à accès restreint... .. .

@ tchaOo°

Commentaire de zouriteman le 31/10/2006 22:52:17

comme quelques uns, je suis énervé par ceux qui, préamptoirement, rejetent ce code comme étant nul , passoire, etc ...
Entre l'accès libre et la protection totale (infaillibilité toute théorique), ce code est un premier niveau, et je préfère voir des gens en proposer l'amélioration et des corrections ou variantes.
Dans votre maison, laissez vous la porte grande ouverte ? Déja une simple clé ordinaire vous évite l'intrusion des curieux malveillants. Passez aux serrures triple point et aux verrous supplémentaires ensuite. Passez à la porte blindée comme à la banque de France ou fort Knox si vous voulez la protection ultime.
Ici, on propose un code pour ceux qui n'ont besoin que d'une clé basique, comme le paysan qui ferme son poulailler pour écarter le renard.
Moi, une simple protection comme celle-ci me suffit pour mon site perso, à condition que le quidam ayant 5/20 en informatique ne puisse pas voir "EN CLAIR" ni le mot de passe, ni le nom de la page qui va suivre , par exemple en affichant dans son navigateur le "SOURCE HTML" de la page initiale.
C'est donc la seule question que je pose au créateur de ce code PHP, et à ses détracteurs. MERCI d'une Réponse

Commentaire de keyloger666 le 05/11/2006 08:28:44

merci a zouriteman qui a dit exactement ce qu'il fallait c'est ce que je voulait dire

Commentaire de malalam le 06/11/2006 18:18:10 administrateur CS

Je voulais le dire ce matin puis j'ai oublié.
Merci de modifier le descriptif.

néanmoins, pour répondre à Zouriteman : ce n'est probablement pas celui qui a 5/20 en PHP qui va tenter le plus de pirater un site. De plus, pas la peine d'avoir 18/20 pour contourner les "protections" trop légères : il y a largement assez de tutoriels sur le net pour que n'importe quel noob y parvienne. Malheureusement.
Je renvoie vers les commentaires de Kankrelune, qui sont très intéressants et très justes. Il serait bon de lire les conseils et les explications, plutôt que de se bloquer obstinément.

Commentaire de malalam le 07/11/2006 09:49:04 administrateur CS

Zouriteman => bon, tout d'abord, et ce afin de donner un peu de crédibilité à ce que je dis (faut bien ;-) ) : s'il y a beaucoup de jeunes ici qui, tout en étant excellents en développement web, peuvent paraitre très éloigné des réalités d'un environnement professionnel, je ne rentre pas dans cette catégorie. Je ne suis pas très jeune, déjà ;-), et je travaille dans le développement depuis bientôt 10 ans. Actuellement, je suis responsable de développement dans une boîte, et nous développons beaucoup d'applications web (entre autres applications, pour beaucoup grand public).
Donc, non, je ne suis pas un hacker. Mais des gars capable de hacker un site mal protégé, j'en connais un bon paquet (ici même, pour commencer...beaucoup ont largement le niveau. Et peu, heureusement, l'envie). Dans les différentes boîtes dans lesquelles j'ai bossé, crois-moi, un gros pourcentage des développeurs étaient largement capable de hacker un site mal protégé. De toute façon, je le répète, ça n'a rien de compliqué : quelqu'un qui veut hacker et qui est un débutant trouvera assez de "ressources" sur le net pour y parvenir.
Il peut paraître stupide de protéger un site perso, et pourtant, même un site perso n'est pas à l'abri. Récemment, quelqu'un de ma connaissance s'est fait hacké son forum, un forum perso, juste pour lui et quelques potes. Ok, rien d'important de perdu...mais un forum foutu en l'air néanmoins. Et ce forum était un forum bien connu, même pas un truc perso : un package largement diffusé.
Pour faire suite à ce que tu dis à propos de ton fils : nous avons embauché il y a peu, un webmaster. Nous avons reçu des tonnes de cv, avec des tonnes d'exemple de sites. Ton fils a raison : nous avons écarté immédiatement ceux qui faisaient "amateurs", et ceux qui présentaient des failles de sécurité évidentes. Et il y en avait...beaucoup. Et oui, je faisais quelques tentatives (sans rien casser évidemment), pour voir. C'est important, la sécurité...surtout quand on bosse pour des clients.
Bref...pour la dernière partie de ton message : mon PDG le prendrait très mal si un site que l'on a développé pour un client se faisait hacker...donc, mon équipe et moi faisons en sorte que cela n'arrive pas. Et un truc à compprendre, c'est que développer un système d'identification et de protection meilleur que celui présenté ici ne prend pas plus de temps que de développer ce système-ci. Plus de connaissances, sans aucun doute. Mais pas plus de temps. Donc pas plus d'argent...(enfin, salaires mis à part : mais là, un problème se pose : je n'"embaucherai pas quelqu'un qui développe un système de protection comme celui-ci...et à mon sens, un développeur web débutant doit être capable de développer un meilleur système sans problème : utiliser des sessions, avoir des bases en htaccess, et des bases en failles de sécurité et un minimum quand on veut se lancer dans ce métier).

Commentaire de zouriteman le 07/11/2006 23:00:37

Merci pour les deux derniers commentaires étoffées et sérieux ;
mais il n'y manque que une seule chose à mon gout :
puisque ce script PHP est trop simpliste , et peut faire détruire le site par quelques voyous d'internet "boutonneux" comme dit l'un , ou pouvons nous trouver (par exemple sur Code Source) un vrai et complet exemple d'une protection correcte et efficace, disons sans faire dans la ligne maginot, un truc Deux étoiles au Guide Michelin de Mrs Kankrelune et malaLam ?

Commentaire de kankrelune le 08/11/2006 12:19:47

Je répondrais comme Malalam ça dépend de ce que tu veux comme stockage pour les pass... SDGB, PHP... je dois avoir une classe qui traine avec stockage en fichier php... après tu veux coupler le code avec une base de données ça dépend aussi de la structure de ta table... .. .

Je cherche dans le fouttoir qui me sert de pc et si vraiment tu la veux je la posterais... .. .

@ tchaOo°

Commentaire de codefalse le 08/11/2006 23:12:48 administrateur CS

Tu peux faire une identification en pseudo/mot de passe et dans la base de donnée tu stock adresse IP, un id unique (somme md5 par ex) si le pseudo/mot de passe était juste dans la base de donnée utilisateur

Ensuite quand le gars se connecte, tu récupere son ip et la valeur md5 dans le cookie et tu le compare à la base de donnée, si c'est juste, alors tu lui donne l'accès.

C'est pas mal sécurisé car le gars, doit gerer l'ip forwarding et toruver la séquence contenue dans le cookie du gars qu'il hack pour pouvoir avoir accès à chaud (cad quand la personne est déjà connecté) sur un acces admin.

Maintenant t'es pas a l'abri de celui qui connait le pseudo/pass :p
Donc la meilleur sécu d'un acces authentifié, c'est les autres pages ;)

Bon, ca c'est mon point de vue, ptete que les autres pensent autrement.
Ca peux etre interessant de partager son idée sur la sécurité et quelle methode (algorithmique) vous employerez pour un acces tres sécurisé :)

Commentaire de kankrelune le 09/11/2006 12:04:29

Le principe est bon mais le problème du stockage de l'ip c'est les ip hautement dynamiques par exemple celle d'AOL qui changent régulièrement au cours de la connection... il faut donc prévoir une option pour ce genre d'ip... mais le principe est bon... par contre à mon avis pas besoin de stocker le hash en cookie perso je préfère le stocker en session... .. .

@ tchaOo°

Commentaire de codefalse le 09/01/2007 22:47:39 administrateur CS

bah soit tu partage le passwd avec tes différents membres
soit tu crée une table dans ta base de données avec user et passwd et tu vérifie que l'user et le passwd correspondent bien par rapport au formulaire ou tu demandera ces infos (attention au sql injection !)

(c'est dit rapidement !)