Discussion :

[psychoBob]

Bonjour,

Sur mon site je filtre les formulaires par htmlentities et les scripts sont en dehors du répertoire www.
Vu que je ne suis pas la banque de France et que personne ne m'en veut en particulier, je pense que c'est suffisant.

Par contre les fichiers de mon admin perso sont dans le répertoire www, et les inclusions dans la base ne sont pas filtrées, puisque je ne vais pas m'autopirater à priori.
Un .htaccess protège l'accès à l'admin.

Est-ce suffisant selon vous ?

[Kioob]

'lut

le plus gros problème de l'identification HTTP c'est que les identifiants (login + mot de passe) circulent en clair sur le réseau, et ce pour chaque hit HTTP fait dans le même dossier (sous dossier y compris).
Dans le cas où pas mal d'images sont utilisées, ainsi que fichiers CSS ou scripts JS, cela se traduit pour chaque affichage de page par un assez gros volume de données envoyées, contenant "en clair" (base64) les identifiants de l'admin.

Après, à toi de voir si cela te va ou non. Une solution relativement simple pour y remédier serait d'utiliser SSL.

[psychoBob]

Merci pour ta réponse

Comment utiliser SSL au juste ? il faut faire une zone de mot de passe qui protège l'accès au répertoire jusqu'ici protégé par le .htaccess ?

En quoi SSL est-il plus sur ? Les variables sont cryptées et indéchiffrables ?

Une autre question : comment un éventuel pirate peut-il trouver le nom du répertoire admin (qui ne se nomme pas admin), puisque celui-ci n'est pas référencé par les moteurs de recherche ?

[Kioob]

Le SSL "crypte" les transferts entre ton PC et le serveur, donc même si le mot de passe est envoyé en clair, le pirate qui réussi à chopper la trame ne peut rien en faire.

Pour le "comment" utiliser SSL, je te laisse voir ça avec Google... ou éventuellement avec ton hebergeur.

Pour trouver le dossier de ton admin, il y a plusieurs solutions :
- déjà si le gars arrive à chopper les trames réseau circulant entre ton PC et le serveur (pour chopper les mots de passe), il aura bien évidement toutes les autes informations necessaires (URL de la page, cookies etc)
- logs Apache : par exemple dans le cas d'un hebergement mutualisé "mal protégé", un autre client pourrait obtenir accès à tes logs et donc connaitra ensuite le nom de ton dossier d'admin
- stats : pour peu que tes statistiques (webalizer par exemple) soient rendues plubliques, il se peut que l'adresse de la page d'admin soit dedans
- au "pif" : tout simplement en essayant 36 noms de dossier "fréquents", il se peut qu'il tombe dessus.

m'enfin... il faut reconnaitre qu'on frole ici la paranoïa s'il ne s'agit que d'un "petit" site.

[psychoBob]

Disons que sans être pour le moment un gros site c'est tout de même un site sérieux que je fais évoluer régulièrement, donc je tiens à faire les choses proprement.

Je vais approfondir la question du SSL, mais une question déjà : a-t'on besoin d'être un développeur chevronné pour utiliser cette fonction ou est-ce accessible à un développeur moyen ?

J'en profite pour poser une autre question sur le "choppage" de trame réseau: comment fait-on ? Je sais c'est une vaste question, mais quelques indications sont toujours intéressantes.

merci d'avance.