Discussion :

[laurentSc]

Bonsoir,

comme nous sommes plusieurs personnes à gérer un compte bancaire unique, j'envisage de créer un petit site internet qui permettrait (de façon centralisée) de saisir les mouvements financiers sur ce compte. Cela signifie que ceux-ci seraient enregistrés dans une bdd. Même si je protège l'accès à ce site par un mot de passe, je me demande si la confidentialité est assurée.

[Invité]

Bonjour Laurent,
qu'entends-tu par "confidentialité" ?
- que chaque administrateur ne puisse pas voir les actions des autres ?
- ou éviter qu'une tierce personne ne pirate le système ?

J'ai cru comprendre que ce système n'aurait pas un accès direct au compte bancaire. Donc, aucun risque que le compte lui-même soit piraté.

Quoi qu'il en soit, tu as intérêt à protéger les données, et y mettre toutes les protections nécessaires :

• évite les mots de passe comme "toto" ou "1234" ;
• attribut à chaque administrateur des identifiant et mot de passe personnels et différents
  (si l'un doit "quitter le groupe", il suffira de fermer son accès) ;
• évite d'enregistrer les mots de passe en clair dans la BdD ;
• que ce soit le mot de passe du panel d'administration ou celui du FTP : change-les régulièrement ;
• protège bien les requêtes contre les injections SQL (surtout si tu utilises encore mysql) ;

Il est aussi possible de crypter les données enregistrées en BdD (cryptage réversible), afin d'éviter de pouvoir les lire en clair directement (via phpMyAdmin, par exemple).

[redoran]

salut ; la gestion des comptes bancaire est un secteur sensible d’où la sécurité doit être sous traité avec des spécialiste de sécurité.
http://julien-pauli.developpez.com/t...-web-securite/
votre site sera une sible pour les pirates ala recherche du trésor de sesam.
maintenant j'ai vue votre code posté dans d'autre forum et suite a l'intervention de jreaux63 :
si c'est possible HTPPS
faut passé a PDO ou MYSQLI,
utilisé des requêtes préparées,
cryptage des mots de passes,
hiérarchisé l’accès au données selon le degrés de responsabilité,
instauré un système d’essais ( exemple au bout de 3 erreurs l’accès sera bloque),
instauré un système de traçabilité des accès ou surveillance des mouvements sur le compte ( stockage des adresses IP..),
déconnexion du compte après quelques minutes de non utilisation par mesure de sécurité.
faite attention au site miroir ( là je ne sait pas comment les détournés...),
aussi la sécurisation du code FTP ,
et la liste est longue , là je laisse la place au spécialiste

[Invité]

Pourquoi tout le monde veut m'appeler jreaux63 ??
C'est jreaux62 ! Je suis Ch'ti, et fier de l'être !

[grunk]

Les message précédents ont évoqué des points intéressants coté programmation. j'en rajoute quelque un coté serveur.

Si tu fais héberger ce site il faut garder à l'esprit plusieurs chose :

- Sur un serveur mutualisé , plusieurs utilisateurs partagent les mêmes ressources. Les hébergeur compartimente généralement bien tout , mais ça veut aussi dire qu'un utilisateur mal intentionné connaîtra sans grande difficultés les adresses FTP/mysql ... Avec un peu de recherche il trouvera aussi le login (généralement un identifiant lié au site) ne restera alors que le mot de passe.

- Sur un serveur dédié , on est seul sur sa machine , on y fait ce que l'on veux , parfait pour la sécurité.
Faut juste pas oublier qu'une fois que tu arrêtes de payer quelqu'un d'autre récupère le serveur. C'est pas rare de pouvoir retrouver un paquet d'informations sur un serveur dédié fraîchement installé , simplement en lançant un outil de récupération de données.
Bien penser à utilser des outils qui vont réécrire plusieurs fois chaque secteur du disque avant de rendre son serveur

[tigunn]

comme nous sommes plusieurs personnes à gérer un compte bancaire unique, j'envisage de créer un petit site internet qui permettrait (de façon centralisée) de saisir les mouvements financiers sur ce compte

Je suis le seul à me demander pourquoi?
Toutes les agences que je connais permettent la gestion des comptes en ligne, alors qu'est-ce que ce site apporterait de plus?

[laurentSc]

Ce que ça apporterait en plus, c'est la possibilité d'enregistrer des dépenses faites mais pas encore débitées (donc invisibles sur le site de la banque).