Discussion :

[Taga1]

Bonjour, pouvez vous me donner votre avis svp, pensez vous que ce script assez simple est une bonne protection pour une page d'accès à une admin ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
<?
// si la valeur tapée est "toto"
// on place "ok" dans le cookie
if(@$_POST["pass"]=="toto") {
   setcookie("passe2","ok");
   Header("Location: ".$_SERVER["PHP_SELF"]);
// si ce n'est pas le cas, le lien contient ?pass=no
// on vide le cookie
} elseif(@$_GET["pass"]=="no") {
   setcookie("passe2");
   Header("Location: ".$_SERVER["PHP_SELF"]);
}
// on lit le cookie
$isOK = (@$_COOKIE["passe2"]!="");
// si non vide >> affiche le menu
if($isOK) { ?>
   <center>
   <A href="?pass=no">Déconnecter</A> -
   <A href="ma_page1.php">Page 1</A> -
   <A href="ma_page2.php">Page 2</A> -
   <A href="ma_page3.php">Page 3</A>
   </center><hr>
<? // si vide >> affiche le formulaire
} else { ?>
   <form method="post">
      <table><tr>
         <td><input type="password" name="pass"></td>
         <td><input type="Submit" value="Entrer"></td>
      </tr></table>
   </form>
<? } ?>

Avec un <? include("protection_de_ma_page.php");
if($isOK) sur les pages concernée ça fonctionne bien...
Mais à part y ajouter un pseudo en plus ...?
"require" à la place d' "include" ne serait-il pas mieux adapté ?
Je n'ai pas ajouté de valeur de durée du cookies, pensez vous qu'il faut le faire ?
Bref, ce script protège vraiment ma page à votre avis ?
De 1 à 10, comment noteriez vous en matière de protection ?
Merci par avance...

[alband85]

A partir du moment où ton formulaire est transmis en HTTP, n'importe qui (ou presque) peut intercepter le mot de passe qui circule en clair.

Donc à moins d'avoir un contexte particulier que tu ne nous as pas exposé, je note à 1/10 la sécurité de ta solution.

[s.n.a.f.u]

Avant même de lire le code, je dirais qu'il y a beaucoup trop de @ pour prétendre faire de la sécurité. Une page sûre gère ses erreurs, elle ne les ignore pas.

[sabotage]

Pour avoir 10/10 il faut gérer les essais succssifs erronés.

Je ne suis pas un pro des cookies mais si quelqu'un crée un cookie "passe2" a la main, il accederait a la page ?

[Taga1]

Ok, merci pour vos remarques...Effectivement, je vais enlever les @ (sale manie) et sinon, je ne cherche pas à avoir 10/10, loin de là, mais pour ta remarque sur les cookies, je vais effectivement voir ce prob...Je re-présenterais le script ici quand j'aurais corrigé certains défauts que vous avez identifiés...N'hésitez pas, c'est en trébuchant qu'on apprend ...
alband85, je suis en train d'essayer de mettre me mdp dans un fichier txt exterrieur pour qu'il ne figure plus en clair dans le script d'envoi...Enfin, j'essai...

[Taga1]

Bon, j'avais pensé à un autre scipt (peut être y a t-il des fautes et des répétitions, n'hésitez pas à me le dire !)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<html>
<!--sécu_2-->
<br/>
<?php
define('FICHIER', 'MDP_0.html');
 
if (!isset($_POST['valider'])) {
?>
<b><font color="#336633">Tappez en toutes lettres votre mot de pass :</font></b><br/>	
<form method="POST">
    Entrez ici votre mot de pass : <input type="text" name="mot" value=""/><br/>
    <input type="submit" value="valider" name="valider"/>
</form>
 
<?php
} else {
    $resultats =array();
     $fp = fopen(FICHIER, 'r') or die('Ouverture en lecture de "' . FICHIER . '" impossible !');
    while (!feof($fp)) {
        $ligne = fgets($fp, '15');
        if (preg_match('|\b' . preg_quote($_POST['mot']) . '\b|i', $ligne)) {
            $resultats[] = $ligne;
        }
    }
    fclose($fp);
    $nb = count($resultats);
    if ($nb > 0) {
		echo "<li> <font color=('000099'> <u><b>BRAVO, mot de pass corrects ! => </b></u></font> <a form0.php'><br/>
		>>> Accédez à votre page d'administration en cliquant ICI !!! <<<</a><br/>
		<br/><i>Merci de nous faire confiance !<br/>
		<br/></i></li>";
        echo "'$mot' trouvé $nb  :";
        echo '<ul>'; 
        foreach ($resultats as $v) {
            echo "<li>$v</li>";
        }
        echo '</ul>';
    } else {
        echo("<br/><font color='#336633'>Vous ne pouvez pas administrer cette page, votre pass n'est pas correct, <b>
	<br/>
		>>> ...Vous vous êtes trompé ??? <a href='pass.php'>RETOUR</a></i><br/>");
    }
}
?>
 
</html>

Est ce qu'il serait mieux que je travail sur ce projet là ?
Est il plus fiable à vos yeux ?
Le script va vérifier si le mot de passe du fichier MDP_0.php existe sur une ligne et donne le lien vers la page si celui-ci est exact...
le prob, c'est pour ça que j'ai interrompu ce script, c'est que le form0.php administrant la page sécurisée se trouve sur le serveur, donc rien de plus facile que de tapper l'adresse du form0.php hp et d'écrire dedans...Cette sécurité ne sert donc absolument à rien...A moins d'héberger les form d'admin (form0.php par exemple) sur un serveur distant, quelle galère...Pas pratique et ça fait pas très propore, non ?
En plus, là, je n'ai pas réussi à intégrer un cookie, donc il faut se ré-identif à chaque envoi de formulaire...
Qu'en pensez vous ???
Je galèèère !
Help me please !!!

[Djakisback]

J'ajouterais que ton fichier MDP_0.html doit être avant la racine de la partie publique de ton site. Si tu n'as pas de base de données tu pourrais effectivement utiliser un fichier texte non publié couplé à une session php. Et si t'es pas sûr de toi tu peux te rabattre vers une protection par htaccess.

Je ne comprends pas ce que tu veux dire par :

le prob, c'est pour ça que j'ai interrompu ce script, c'est que le form0.php administrant la page sécurisée se trouve sur le serveur, donc rien de plus facile que de tapper l'adresse du form0.php hp et d'écrire dedans

Finalement j'ai compris mais de toute façon il ne suffit pas de masquer ton lien vers form0.php pour protéger la page...

[alband85]

alband85, je suis en train d'essayer de mettre me mdp dans un fichier txt exterrieur pour qu'il ne figure plus en clair dans le script d'envoi...Enfin, j'essai...

Non, ce n'est pas là le problème.
Si le mot de passe est dans le script PHP, il est "caché".
Par contre, quand tu valides ton formulaire, les données sont transmises en clair. Quelqu'un qui intercepte le trafic peut lire le login et le mot de passe... et c'est beaucoup plus simple qu'il n'y paraît.

Pour protéger ça, tu as plusieurs solutions (plus ou moins fiables) :

• chiffrer le mot de passe avant l'envoi ;
• chiffrer la connexion (HTTPS à la place du HTTP) ;
• envoyer le hash du mot de passe (moins sécu) ;
• ...

Tout dépend du niveau de sécurité que tu recherches... sachant que la grande majorité des sites ne se posent pas la question : le mot de passe est transmis comme tu le fais (je ne dis pas que c'est bien...).

[Taga1]

J'ajouterais que ton fichier MDP_0.html doit être avant la racine de la partie publique de ton site.

Comme ça ? => define('FICHIER', 'admin/MDP_0.html');

Si tu n'as pas de base de données tu pourrais effectivement utiliser un fichier texte non publié couplé à une session php.

Excuse moi, j'comprends pas bien... je n'ai pas de base de donnée, il faut que je fasse avec des fichiers txt, php, html...

Et si t'es pas sûr de toi tu peux te rabattre vers une protection par htaccess.

J'y arrive pas j'y comprends rien au .htaccess, je cherchais une autre soluce, en plus les .htaccess sont acceptés différemments selon les serveurs, je voudrais essayer de m'en passer...

il ne suffit pas de masquer ton lien vers form0.php pour protéger la page...

B'en oui, c'est bien ça le prob... Tu peux être plus précis, un bout de soluce ?

[Taga1]

Non, ce n'est pas là le problème.
Si le mot de passe est dans le script PHP, il est "caché".
Par contre, quand tu valides ton formulaire, les données sont transmises en clair. Quelqu'un qui intercepte le trafic peut lire le login et le mot de passe... et c'est beaucoup plus simple qu'il n'y paraît.

Pourtant, c'est ce que je voulais éviter en faisant aller chercher le mot de pass par php dans un fichier html à part... Et si j'enlève un passage genre :
echo "'$mot' trouvé $nb :";
echo '<ul>';
foreach ($resultats as $v) {
echo "<li>$v</li>";
Je ne vois pas, ma tête bouillonne un peu, lol...

Pour protéger ça, tu as plusieurs solutions (plus ou moins fiables) :

• chiffrer le mot de passe avant l'envoi ;
• chiffrer la connexion (HTTPS à la place du HTTP) ;
• envoyer le hash du mot de passe (moins sécu) ;
• ...

Tout dépend du niveau de sécurité que tu recherches... sachant que la grande majorité des sites ne se posent pas la question : le mot de passe est transmis comme tu le fais (je ne dis pas que c'est bien...).

Euh...Il suffi de notre que c'est https pour que ça sécurise ? (excuse, là j'ai jamais apris)...
*envoyer le hash du mot de passe (moins sécu) ;
Là non plus, j'connais pas ce système...
Sinon, je veux pas la protexion de la naza, mais tout d'même, que l'on ne puisse pas écrire sur les pages si facilement !...Je ne voudrais pas retrouver mon site bariollé un beau matin, voir pire...
Merci pour votre aide !!!
Je reste à l'écoute !...

[sabotage]

chiffrer le mot de passe avant l'envoi je vois mal comment faire.
envoyer le hash du mot de passe, je vois mal comment faire aussi et en plus je ne vois pas ce que cela apporte en terme de securité.

[Taga1]

En fait, je vais travailler sur mon ème code plutôt (mon post #6) mais reste mon prob de cacher mes form d'admin. Ils seront protégés si l'on vient par le lien de la page à administrer, car ce lien mêne au code d'accès imposé...Par contre si on tappe : http://mon_site/mon_formulaire.php, on a accès à l'écriture sur ce formulaire...Comment puis-je obliger à passer par la page sécurisée ??? Avec 'require'...Je ne sais pas ce que je trafique, mais ça marche pas...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<? include("ma_protection.php");
if($isOK) { ?>

ça devrait pourtant, non ?...
Help !!!
Je suis à peu près sûr d'être sur une bonne voie, mais j'ai encore des carrences, vous avez une idée ?

[Djakisback]

Si t'utilises un fichier pour stocker tes logins mdp, la première chose à faire de t'assurer que ce fichier n'est lisible que par php.
1) Tu peux le stocker à l'extérieur de ton espace web publié. En te connectant pas ftp tu regardes si le répertoire racine de ton site est publié ou non, s'il est pas public tu peux stocker ton fichier ici.
2) Si t'as accès qu'à la partie publique de ton espace tu peux protéger un répertoire avec un .htaccess "deny from all"dans lequel tu stockes ton fichier
D'un autre côté si la page admin est la même pour tous les utilisateurs autant tout gérer directement en .htaccess.

Si 1) alors tu peux faire un simple fichier txt que tu parse avec une regex ou autre
Si 2) alors tu peux en plus nommer ton fichier .fichier.php, d'une part il sera caché, d'autre part il sera interprété. Ensuite tu stockes tes login/pass dans un tableau php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
$pass['unlogin'] = 'unpass';
$pass['unautrelogin'] = 'unautrepass';

Tu couples ça à une session php pour éviter à avoir à renvoyer à chaque fois le mdp.

chiffrer le mot de passe avant l'envoi je vois mal comment faire.
envoyer le hash du mot de passe, je vois mal comment faire aussi et en plus je ne vois pas ce que cela apporte en terme de securité.

Moi non plus, si tu sniffes le hash ou le pass c'est pareil ?

A partir du moment où ton formulaire est transmis en HTTP, n'importe qui (ou presque) peut intercepter le mot de passe qui circule en clair.

Donc à moins d'avoir un contexte particulier que tu ne nous as pas exposé, je note à 1/10 la sécurité de ta solution.

Je te trouve un peu dur sur la note, faut déjà pas avoir de motte pour se faire sniffer

[walacouper]

Bonjour,
j'ai vu le sujet de cette discution et il me parrait très interessant,
alors , je me pose la question pourquoi vous n'avez pas pensez de stokcer vos ID d'authentification dans un SGBD ( Mysql ) ?


Cordialement.

[s.n.a.f.u]

Moi non plus, si tu sniffes le hash ou le pass c'est pareil ?

Je te trouve un peu dur sur la note, faut déjà pas avoir de motte pour se faire sniffer

Clair que ce serait pas de bol.
Il faut d'abord évaluer le contexte du site avant de donner une note (et des avis...)

Dans le cadre d'un site plus ou moins classique (forum, blog, etc...), il est juste de bon ton de stocker le mot de passe crypté pour éviter une indélicatesse d'un admin un peu curieux. Toute considération de mot de passe "sniffé" relève un peu de la paranoïa.

Dès que le site est un peu peu plus sérieux et que les données sont plus confidentielles ou tout simplement parce qu'il y a de l'argent en jeu, la sécurité doit effectivement être montée d'un cran et il est alors judicieux de se poser des questions sur les attaques du type man in the middle. Et une solution existe depuis longtemps, à base de cryptage effectivement : https. C'est juste qu'il faut payer un certificat pour pouvoir l'utiliser.
A vous de voir si le jeu en vaut la chandelle.

[alband85]

chiffrer le mot de passe avant l'envoi je vois mal comment faire.

Ça implique un échange de clefs au préalable, c'est tout.
Je ne dis pas que c'est une solution miracle qui peut s'appliquer partout.

envoyer le hash du mot de passe, je vois mal comment faire aussi et en plus je ne vois pas ce que cela apporte en terme de securité.

Sans être une solution universelle, il est tout à fait possible de de hacher un mot de passe avec une fonction Javascript.
Ça apporte en sécurité le fait que ce n'est pas « lisible » par le premier venu. Mais c'est sûr, ça se contourne avec un simple re-jeu... donc loin de moi d'affirmer que c'est une bonne solution.
On cache ce qu'on a à cacher avec un paravent.

[sabotage]

Ça implique un échange de clefs au préalable, c'est tout.

Je ne vois pas comment faire un echange de clef en PHP et de toute qui va réaliser le chiffrement ?

Ça apporte en sécurité le fait que ce n'est pas « lisible » par le premier venu.

Que le mot de passe soit "toto" ou "FOJ56FLgklkggljk" ce n'est pas plus difficile a intercepter.

[midnnight]

Hello à tous, en reprenant le post #6 et le post #12
Page => protect.php

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
<?
// si admin a écrit "mapomme" et "coucou" dans le formulaire
// on met "ok" dans le cookie
if($_POST["user"]=="mapomme"
and $_POST["pass"]=="coucou") {
   setcookie("passe2","ok");
   Header("Location: ".$_SERVER["PHP_SELF"]);
// sinon si le lien contient ?pass=no
// on vide le cookie
} elseif(@$_GET["user"]=="no"
and @$_GET["pass"]=="no") {
   setcookie("passe2");
   Header("Location: ".$_SERVER["PHP_SELF"]);
}
// on lit le cookie
$isOK = (@$_COOKIE["passe2"]!="");
// si non vide >> affiche le menu
if($isOK) { ?>
   <center>
   <A href="?pass=no">*°DECONNECTION !°*</A> 
   - connectez vous aux pages =>
   <A href="page0.php">Index</A> -
   <A href="page1.php">Page 1</A> -
   <A href="form0.php">Page 2</A> -
 
   </center><hr>
<? // si vide >> affiche le formulaire
} else { ?>
   <form method="post" action="page0.php">
    <label>Nom d utilisateur : <input type="text" name="user" /></label><br />
    <label>Mot de passe : <input type="password" crypt_password name="pass" /></label><br /><br />
 
    <input type="submit" value="Envoyer" />
    <input type="reset" value="Rйtablir" />
</form>
<?php
function crypt_password($texte) { 
   $s=""; 
   for ($i=0;$i<strlen($texte);$i++) { 
     $s.="&#".ord($texte{$i}).";"; 
   } 
   return $s; 
} 
// FIN du Filtre crypt_password
?>
<? } ?>

et dans ma page à sécuriser

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
<? include("protect.php");
if($isOK) { ?>

on peut mettre dans le formulaire "admin/page0.php"...
J'imagine que ça fonctionne, mais à prendre avec méfiance, car pas vérifié...
(si quelqu'un veut s'y essayer...)
(*****°°°=>Quelle note de niveau de sécurité donneriez vous à ce scipt ? /=>/°/*);
Et est-ce que ça convient ?
A+++
Ps : je viens de recharger le code "protect à l'instant, suite à une faute dans le formulaire...(j'm'a gourré, lol) j'avais mis "name password au lieu de pass"...Sorry.

[Taga1]

Pour moi ça fonctionne,
Je laisse ouvert le post encore quelques temps avant de marquer "résolu", le temps (si vous l'avez) de tester et de noter...
Pour l'instant, you know wath ? I'm happy...

[alband85]

Je ne vois pas comment faire un echange de clef en PHP et de toute qui va réaliser le chiffrement ?

C'est pour ça que j'ai écrit en toutes lettres :

Ça implique un échange de clefs au préalable, c'est tout.

Je n'ai jamais parlé de le faire en PHP. Tout ce que je dis, c'est "ça se fait".

Que le mot de passe soit "toto" ou "FOJ56FLgklkggljk" ce n'est pas plus difficile a intercepter.

C'est également ce que j'ai dit. Si le re-jeu est simple, c'est que l'interception l'est aussi. Ne va pas essayer de me faire dire ce que je n'ai pas dit.
Le neuneu de base qui n'y connait rien mais qui a lancé Wireshark sans trop savoir ce qu'il faisait verra un hash et ne saura pas forcément trouver le mot de passe.

Ce n'est pas parce que j'évoque des choses "pour la culture" que je les conseille.