begin process at 2012 02 12 19:14:40
  Trouver un code source :
 
dans
 
[ Dernières recherches ]
Accueil > 

Code

 > 

Sécurité & Cryptage

 > SECURISER UN SITE PAR SESSION ET CODAGE DU PASS ENVOYÉ

SECURISER UN SITE PAR SESSION ET CODAGE DU PASS ENVOYÉ


 Information sur la source

Note :
2,33 / 10 - par 3 personnes
2,33 / 10

  • 1

  • 2

  • 3

  • 4

  • 5

  • 6

  • 7

  • 8

  • 9

  • 10
Catégorie :Sécurité & Cryptage Niveau :Débutant Date de création :23/06/2004 Vu / téléchargé :13 719 / 1 666
Auteur : Nebraska

Ecrire un message privé
Site perso
Commentaire sur cette source (9)
Ajouter un commentaire et/ou une note

 Description

Dans le zip se trouvent la base d'un dossier admin qui sert d'exemple a mon système : une page chargé d'acceuillir ceux qui veulent se logger, et les fichiers a inclure dans vos pages php pour vérifier l'état de la session.
Utilisez de préférence require_once() pour éviter les doublons.
Détails :
Sur la page d'acceuil, lors de la validation du formulaire le mot de passe est placé après le no du jour du mois, et encodé en md5. Quand le serveur reçoit ces données, il extraie le mdp de la base de données, lui ajoute le no du jour du mois, et code aussi en md5. Il compare les 2 chaines md5 et si elles sont équivalentes, valide la connexion. L'adresse ip est alors placée dans une variable de sessions.
Ensuite, sur toutes les pages a sécurisé il faut appeler admin_checksession(true) qui se chargera de laisser passer le client si tout va bien, ou de le renvoyer a la page de login dans le cas contraire(il faut appeler cette fonction avant toute sortie html pour l'envoie de l'en-tète).
Ensuite, il suffit de faire un lien sur closeadmin.php pour fermer la session(on peut utiliser admin_closelink() ou admin_toppanel($title) pour rajouter rapidemment un lien de déconnexion).


 Conclusion

Voila, les pages d'exemples devrait largement suffire pour comprendre le principe(mème si la page loginadmin.php est un peu bordelique je dois avouer :p)
C'est ma première source, et la partie d'envoie du mdp codé a été grandement inspirée par une autre source de ce site(sur laquelle j'avais fait de joli commentaires erronés ;) )

ps:bien sur, lorsque le mdp du formulaire est passé au md5 dans le champ cachée, le mdp original de la boite de texte est modifié, pour ne pas l'envoyer en clair en mème temps que le mdp crypté :p

 Fichier Zip

Les Membres Club peuvent télécharger directement un fichier contenu dans le zip sans télécharger le zip en entier !

Télécharger le zip


 Sources de la même categorie

Source avec Zip Source avec une capture ACCÈS, ESPACE MEMBRE AVEC INSCRIPTION ET DÉSINSCRIPTION PAR ... par stephelle
Source avec Zip CRYPTAGE REVERSIBLE par Mokost
Source avec Zip Source avec une capture CREATION DE COMPTE AVEC CRYPTAGE ET ESPACE DE CONNEXION SEC... par bm1982
Source avec Zip PROTÉGEZ VOS LIENS DE TÉLÉCHARGEMENT PAR MOT DE PASSE ET/OU ... par unlien
CRYPTAGE/DECRYPTAGE MCRYPT par sephirothgeek
Toutes les sources de la catégorie Sécurité & Cryptage

Commentaires et avis

Commentaire de Nebraska le 23/06/2004 02:33:27

au fait, comme indiqué c'est ma première source php déposé ici, je suis ouvert a la critique :)
(au fait, le fichier mysql_i.inc que j'ai mis sert pour pouvoir tester rapidemment, mais je le trouve assez pratique pour ètre utilisé seul :p)

Commentaire de kalachnikov le 23/06/2004 11:52:43

si y a que le jour qui change, alors le mot de passe haché est valable toute la journée(largement suffisant pour un pirate pour aller se logguer).
L'idée est bonne, mais il faut que la date change toutes les secondes(le serveur n a pas besoin de générer ou créer quoique ce soit), ou alors générer un nombre aléatoire assez grand côté client.
Le serveur recoit juste 2 infos, le haché+le_complément(date avec seconde ou nombre aléatoire).
apres il hache le mot de passe recup en bdd + le complément de son côté et compare.

Commentaire de revinc le 23/06/2004 12:12:36

L'idée est peut être bonne, mais bravo pour la sécurité de l'espace admin. File moi l'adresse de ton site et je te hacke ça en 2 secondes. En regardant tes sources, il y a matière à une bonne douzaine d'injections SQL...

Commentaire de Nebraska le 23/06/2004 12:39:03

hum quand je disais ètre ouvert a la critique, c'était plus du genre : ouais la y'a une faille, pour que je la corrige, pas qu'on me dise 'ouais j'te hack en 2minutes'.
Sinon pour la date, l'idée était de ne pas faire transiter le trop d'info vers le client; de toute façon il faudra que la personne qui récupère le pass soit aussi sur la mème ip... quoique je ne sais pas si l'ip obtenue en php dépend des en-tètes ou de l'ip réel... Le problème si on prend une valeur qui change toutes les secondes apparait avec les connexions lentes ou du coup le serveur et le client n'aurait plus la mème valeur a rajouter au pass; pour éviter ça on peut bien sur envoyer une valeur au client qui l'ajoutera au pass, mais la le problème c'est que si un hacker tombe sur la requète qui revient au serveur, il aura le pass codé mais aussi le morceau ajouté au pass; il lui suffira de renvoyer a son tour les 2 info pour que le serveur croie avoir un client valide en face de lui

... et pour info, l'utilisation d'une base sql n'a rien d'obligatoire, c'était un exemple de comment stocker des pass, tu peux le faire comme tu veux

Commentaire de revinc le 23/06/2004 12:42:55

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger

Commentaire de revinc le 23/06/2004 12:47:55

Je t'ai dit comment trouver les failles sur tes sources : injection SQL. Tu trouveras davantage de précisions sur google ; et t'as tout ton fichier admin_i.php à corriger.
A moins que magic_quotes_gpc soit à 1 dans php.ini. Correction donc : ton système à 50% de chances de pouvoir être hacké (dépend de la configuration du serveur).

Commentaire de emilia123 le 14/09/2004 01:09:48

trés trés constructif comme message..
quel est l'interet d'un tel message.
si tu prend des cours et que le prof te traite juste d'abruti..
soit tu le tarte soit tu le prend pour une merde et tu l'écoute pas... je pense pas que tu soit comme ca (revinc)..
alors soyons constructif.. et présentons les problémes rencontrés dans une sources..
c'est comme ca qu'on évolue en groupe..
bonne soirée à tous.

Commentaire de jdeboer le 26/01/2005 16:25:26

C clair revinc, au lieu de te la peter, propose une source corrige.

Commentaire de linstruiseur le 07/03/2005 08:31:06

il est beaucoup plus simple de piraté un site que de le construire, moi, je suis le premier particulier à avoir déposé plainte contre piratage.

J'ai trouvé une solution très très simple, et là, tout les petits cons de pirates du dimanche peuvent se lever et courir et loin en plus, car mon fichier "admin.php" n'existe plus dès que je fait mes mises à jours, et là, les cocos du dimanche, ben que dalle, ils sont fort simplement en appliquant un programme qu'un informaticien verreux a mis à disposition.
Si c'est cela faire de l'informatique, excusez moi du peut, mettez vous au tricot ou éviter plutôt vous risqueriez de vous croeuver les yeux.
A bon entendeur .....

 Ajouter un commentaire

Nos sponsors


Sondage...

Comparez les prix


Archos 5 Internet Tablette 500 Go
Entre 396€ et 444€

Visiter le guide achat

CalendriCode

Février 2012
LMMJVSD
  12345
6789101112
13141516171819
20212223242526
272829    

Consulter la suite du CalendriCode

Photothèque

Photo Waterfall in Kauai Hawaii With RainbowPhoto Beautiful woman in a bikini meditating on the beach
Photo Framed Landscape Image of Monument Valley 

Visiter la photothèque
 
Développement réalisé par Nicolas SOREL (Nix) avec l'aide de : Cyril DURAND et Emmanuel (EBArtSoft), Merci à Vincent pour ses précieux conseils.
CodeS-SourceS.com© Toute reproduction même partielle est interdite sauf accord écrit du Webmaster
CodeS-SourceS.com© est une marque déposée tous droits réservés

Google Coop CodeS-SourceS Google Coop CodeS-SourceS
Temps d'éxécution de la page : 1,186 sec (4)

Nous contacter | Annoncer sur CodeS-SourceS | Mentions légales
Outils Convertisseur VB/C# Snippets et scripts Outils en ligne La ToolBox
Communauté Programmation Photographie Technologie Newsgroups Emploi Forum Blogs
Guide d'achat Téléphonie mobile Image et son Informatique Bureautique Jeux vidéo
Logiciels Internet & Réseau Développement Market Android Jeux & Loisirs Graphisme Multimédia Sécurité Pilotes
Loisirs Cartes virtuelles Vidéos droles Jeux en ligne Géoguide AndroLib (Android Market)