Discussion :

[bigsister]

salut,

J'ai une question :

- Un serveur A doit envoyer un formulaire à un serveur B.
- B ne doit accèpter les formulaires que de A.

B peut-il se contenter de vérifier que le REMOTE_HOST (son adresse IP ou son nom de domaine) du serveur qui l'appel correspond bien à A ?

C'est à dire est-ce qu'un internaute pourrait heberger un formulaire en local, puis en modifiant son fichier host directement sur sa machine pourrait se faire passer pour A ? Ou de façon plus complexe un internaute peut-il changer les packets qu'il envoit à mon serveur B pour se faire passer pour A ?

[Invité]

Ah, je tiens à t'assurer que ceci est tout à fait faisable.
J'ai moi meme telechargé des extensions Firefox dont je tairai le nom, qui permettent à chaque requete HTTP de modifier tous les paramètres du header, y compris le HTTP_REFFER ou HTTP_HOST. ( et qui permettent de s'amuser gaiement avec les nombreux formulaires non protégés sur le web, ceci dit, je suis programmeur/developpeur, pas pirate, hein )

Bien que ca soit très rare, et reservé aux pirates ( ou du moins aux personnes ayant une experience technique du web relativement poussée ), si tu veux absolument sécuriser un formulaire, utilise le "tagguage", mais ca ne fonctionne que sur un seul et unique host (utilisation des sessions ).

Plus d'infos de la part de Chris Shiflett : ici http://shiflett.org/articles/foiling-cross-site-attacks

[berceker united]

Je confirme que c'est extrement facile de faire croire ce que tu veux via les requetes http. Maintenant il sagit de savoir ce qu'il attend comme adresse IP donc et un internaute ne peut pas le devener seul.
Si le server B attend comme adresse IP 192.168.250.36 il faudra faire une sacré boucle donc certe tu peux utiliser cette methode si les informations ne sont divulgé. Il faudrait l'adresse IP plus d'autre information pour augmenter ces chance mais si jamais quelqu'un renifle la trame HTTP entre le serveur A et B là c'est mort.
Sinon essay de voir s'il y a pas un module pour cripter d'un coté et decripter de l'autre mais bon même ça c'est pas fiable. A toi de voir si les données son sensible ou non.

[bigsister]

ok dac merci de vos réponses.
en fait moi je ne procède pas comme ça, j'utilise dans 99.99% des cas un système de clef privée et de hash + https comme ça je suis tranquille
J'ai simplement vu ça aujourd'hui dans une appli opensource dont je tairai donc le nom...

[wamania]

si c'est une appli open source, vaut mieux le dire.
l'idée n'est pas de faire de la mauvaise pub, mais de révéler des failles (plutot sensible ici d'ailleurs)