Bonjour,
Je développe un site expérimental en php/ajax/smarty avec Gestion d'utilisateurs.
Je recherche LE système de sécurité le plus efficace possible.
Petit aperçu de mon système actuel:
- Stockage en DB des logins+pass et ip
- Création de sessions contenant login+pass ($_session) si connexion valide.
- Modules de contrôle d'existence de session, de login et de Ban (si un user est banni sur IP ou sur login, reco au bout de 15/30 minutes) sur chaque page.
- Timer JS/AJAX sur chaque page qui deconnecte un utilisateur automatiquement (à une seconde prêt) si l'administrateur l'a banni de lui-même ou s'il a tenté 3 connexions échouées (MAJ dans la table des IP).
Biensur mon système ne me convient pas tout à fait. En effet puisque je me sers de l'IP de l'utilisateur pour le bannir, un réseau local derrière un routeur se verrait banni entièrement (pdt les 15/30 minutes décidées) puisque l'IP publique est la même pour chaque poste (c'est le cas du système de ban de developpez.com d'ailleurs ... j'ai banni les développers de ma boite pdt 15 minutes hier lol).
Donc, actuellement, lors d'un ban sur ip, il suffit pour l'utilisateur de se reconnecter, de se voir attribuer une nouvelle ip et de refaire des tentatives de connexion au site. Un acharné ne serait pas dérangé par ce système.
Il n'y a pas d'identification unique d'un poste sur internet, seulement avec le FBI, les crackers etc...qui font des prouesses sans arrêt, je me dis que peut-être une astuce existe! J'ai pensé récupérer des informations locales diverses par javascript seulement c'est transparent et pas très "pro".
Je ne compte pas utiliser d'activeX ni même de WSH etc...
Je pourrais éventuellement utiliser l'HTTP_USER_AGENT ou l'HOST de la trame mais c'est facile à contourner en utilisant un autre navigateur etc...etc...
Simplement : Comment bannir un poste situé derrière un réseau local qui dispose d'une IP publique unique? Héhé, on va me dire "pas possible" mais je ne sais pas pourquoi...je suis têtu de sentir que c'est POSSIBLE en récupérant une certaine information unique bidon et infalsifiable (genre une clé, une version d'un soft, quelquechose d'absolu) mais bon ça se saurait!
Simplement2: Y voyez-vous un autre système de sécurité pour mon site?
Merci
Partager