Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter
Empêcher le forcage de connexion.
Bonjour,
Je dispose d'une partie administrative sur mon site perso. Je souhaite pour des raisons de sécurité limiter les tentatives de connexion.
Mes questions sont les suivantes :
- A combien limiter le nombre de tentatives ?
- Comment limiter le nombre de tentative ?
- Faut-il passer par des une variable session que l'on incrémenterai de 1 à chaque essai jusqu'a atteindre x essais ?
- Faut-il créer un cookie au bout de x essais ?
- Autre solution?
Merci
Bonjour,Envoyé par Niki59
3 c'est un bon nombre je pense,
Pour limiter, une table SQL avec l'ip et le nombre de tentatives, cookie / session si tu veux, sachant que ca reviens plus ou moins au même ( mais prefère la session au cookie, on peux pas modifier une session alors qu'un cookie suffit de changer une valeur dans un fichier txt :/ ), sachant que de toute facon, si le client supprime ses cookies et change d'ip, il sera pas possible de savoir que c'est à nouveau lui
Bonjour,
Si tu ne veux pas qu'un "robot" fasse par "Force Brute" une entrée surprise sur ton site, ajoute un Captcha, c'est très facile à créer et installer, la protection est bien plus sur, malgré le fait que certains "robots" commencent à lire de plus en plus facilement les images.
GoT
Dans mon navigateur Firefox si je vais dansCela supprime toutes sessions créées je crois, non?Outils > Effacer mes traces > Sessions d'identifications
Le gars arrive sur mon site, il fait ses trois tentatives, puis supprimes ses "Sessions d'identifications" et hop c'est repartie pour trois nouvel essais. =/
Donc au final sa ne vaut pas mieux que les cookies je pense... non?
Oui sa me paraît une bonne idée! Tu as d'autres idées pour ameliorer encore plus la sécurité de ma partie administrative ?Si tu ne veux pas qu'un "robot" fasse par "Force Brute" une entrée surprise sur ton site, ajoute un Captcha, c'est très facile à créer et installer, la protection est bien plus sur, malgré le fait que certains "robots" commencent à lire de plus en plus facilement les images.
Merci à vous.
Oui, c'est bien pour ça que je dis que session et cookie, ça reviens finalement au même ...
Sinon, ce que tu peux faire, c'est limiter le nombre de connexion à la suite pour tout le monde, en ayant une table SQL ou un fichier texte, dans lequel tu met la dernière date de connexion, et le nombre de connexion en échec successives ... et tu bloque si le nombre de connexions en échec est trop grand et le temps passé inférieur à la limite.
Mais effectivement, GoTrUnKo à une bonne idée en pensant au captcha.
Ok, imaginons qu'une personne tente 4 fois de se connecter avec 4 échecs consécutifs. Cela lui bloque l'accès et aussi pour toute autre personne voulant se connecter.
Mais comment se fait la réactivation de la possibilité de se connecter et sous quelles conditions?
Bonsoir
Je ne sais pas ce que ça supprime, mais ce ne sera pas le fichier de session qui se trouve sur le serveur, ça supprimera surement le cookie contenant l'identifiant de session...
Sinon un article assez complet sur le sujet je pense : http://alexandre-joly.developpez.com...i-brute-force/
Merci je vais lire ca de suite.
Ben, on peux imaginer, si le temps séparant la connexion courante de la dernière en échec est supérieur à 5 minutes, alors on remet le compteur à 0 ^_^
Sinon, quand on supprime les infos de session, on supprime les cookie contenant le sess_id, ça supprime effectivement pas le fichier sur le serveur ( c'est des noms et des formats de variable totalement détermines, donc c'est juste de la recherche et suppression )
Bonsoir,
Si ton site est personnel je ne pense pas qu'il faille le protéger énormément non plus, un simple captcha et un mot de passe composé de chiffre, caractères spéciaux et de lettres suffira amplement.
Dans le cas où le site peut être très gros et aura une certaine fréquentation, utilise SSL, captcha, mot de passe crypté md5 et tout le bouzin, le captcha n'est pas non plus nécessaire mais pour une partie d'administration c'est très pratique.
Il existe aussi d'autres protection comme avec le .htaccess mais je ne sais pas du tout ce que ça donne.
La meilleur protection étant quand même un bon mot de passe composé de pleins de caractères que tu changeras régulièrement. Ainsi qu'un identifiant lui aussi complexe, tout en respectant la case (A différent de a, vérification code ASCII)
Si tu veux après diminuer le nombre de tentative, pointe plutôt l'objectif sur l'adresse IP
Ce bout de code va te permettre de récupérer l'ip, qu'elle soit derrière un proxy ou autre (si mes souvenirs sont bons en tout cas ça marche niquel chez moi). Ensuite dans ta base de données tu rajoutes une table "logError" ou un truc du genre (c'est la première chose qui m'est venue à l'esprit), avec pour champs :
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
- IP
- le nombre de tentative
l'IP peut servir de clé primaire, mais je te conseil de faire un autre champ identifiant autoincrémente, ce sera plus sur.
1 tentative : affichage du captcha
2 tentative : pareil
3 tentative : pareil
4 tentative : ... (le nombre de tentavie maximum que tu vas définir dans ton code)
Si par exemple l'utilisateur n'avait que trois essais, tu insers 4 dans le nombre de tentative, et tu lui interdis la visibilité ainsi que l'accès de la page pendant X temps pour cette adresse IP.
Du moins je ferais de cette manière pour rendre assez simple les choses sans trop me prendre la tête :/ Il existe bien d'autres sécurité plus poussée mais où est l'utilité pour certains sites internet.
GoT
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Répondre avec citation
Partager