NewbieContest

J'aimerais faire une partie privé sur mon site pour stocker logs et autres infos persos... =D
J'ai trouver plusieurs idées sur le net. :O
J'aimerais vos avis sur .htaccess, base de données langages etc... :oops:
Si vous aviez a creer un zone membre ou juste perso reservée a l'admin **No Sms** choisiriez quoi ? :shock:

Si c'est juste pour une personne (admin) tu peux par exemple créé un dossier admin avec une authentification en utilisant les sessions en php
Perso j'utilise pas les .htaccess parce que j'ai toujours des problèmes avec (comment ca je sais pas les utiliser ?)

Le mieux étant de nommer le dossier en autre que "admin", car c'est une des premières choses que je regarderais si je voulais hacker ton site...
Mais comme le dit Luther, un bon passage par session PHP ca peut être assez simple à faire... à condition de vérifier les infos dans la session sur chaque page admin :rolleyes:

Demande à Nms, c'est le spécialiste de la sécurité PHP ;)

Tu prends tout.. plus tu cumules, plus t'es sécure.. Du moins, tant que le tout reste cohérent et que les protections ne se gènent pas les unes des autres...

Si tu veux simplement créer une zone admin qui ne sera pas multi utilisateur, au sens que tu serais donc le seul utilisateur, je pense que la solution la plus simple est d'utiliser un htaccess, sauf si tu es chez free (enfin si tu est hébergé chez free).

Ensuite si tu veux créer une zone membres, multi utilisateurs, il te faudra impérativement utiliser un langage de programmation web tel que php couplé à une base de donnée tel que MySQL (rappelons qu'ils ne sont pas les seuls existants!). D'autre part il faudra que tu penses bien la chose avant de tout construir, car le risque quand tu commence à programmer c'est les failles de sécurité. Intéresse toi au SQL Injection, XSS (appelé aussi CSS), faille d'include, etc... Je t'ai donné les plus courantes. Et pense aussi qu'un mot de passe ne se stoque jamais en clair dans une base de donnée, mais sous forme chiffrée avec SHA1 par exemple (ne plus utiliser MD5). Ensuite pour le système d'authentifiation je recommande les sessions, les cookies sont à éviter il me semble. Le mieux étant encore de coder son propre gestionnaire de sessions.

Bon je pense que j'ai plus ou moins fait le tour mais si tu as des question j'y répondrais avec plaisir.

Merci pour vos reponses...

Je suis chez free il ne propose pas de htaccess automatique comme wanadoo (qui lui le fait mais que pour le rep de base).
Chez free je crois qu'il faut le creer a la mimine... pourquoi tu dis "sauf si tu es chez free (enfin si tu est hébergé chez free)" ?

J'ai trouvé plusieurs truc sur le htacces si quelqu'un connais de bon tutos clair et precis, je suis preneur. :oops:

Je pense que l'usage de .htaccess chez free n'est pas une bonne idée pour la simple et bonne raison que les mots de passe ne sont pas stockés de facon chiffrée.

ah les vilains .... :cool:

Certes c'est une restriction dont je me serais bien passé en tant qu'utilisateur de sites free, mais il faudrait quand même pas pousser le bouchon trop loin, et juste réfléchir deux secondes! Si tu fais les choses proprement ça ne changera RIEN que ton mdp soit crypté ou pas... Tu te fais ton htaccess, et tu mets ton htpasswd dans un répertoire lui-même protégé par un htaccess avec un "Deny From All". Je te DEFIE d'arriver à chopper mon mdp si je fais comme ça (ce que j'ai fait sur plusieurs sites à moi)...

lol, je ne relève pas le défi mais je suis habitué au développement professionnel. J'entend par là du développement à destinnation d'entreprises qui ont tout intérêt à défendre au maximum leur site. Maintenant je suis daccord pour dire qu'il faut relativiser, il ne s'agit pas ici du site d'une banque...

Voilà tu as tout à fait saisi la où je voulais en venir!
Dsl pour la réponse un peu brutale mais tu n'es pas le premier qui me sort ce genre de trucs et c'est tombé sur toi dsl ^^
:wink:

Bon pour le coup je vais développer un peu mon idée :

Je note deux choses chez freez :
- Mot de passe non chiffrés pour les .htaccess
- Pas de gestion de droit sur les fichiers

Imaginons une faille dans un script (et oui ca arrive...) qui permettrait de lire n'importe quel fichier. Pourquoi ne pas aller lire le un .htpassword?
Mais bon disons qu'on peut utiliser ce système chez free, mais je dirais avec un peu de prudence.

Ne me frappe pas....

Ah mais j'ai jamais dit qu'il ne fallait pas l'utiliser avec prudence, bien au contraire ;)
Mais bon tout bon développeur qui se respecte se DOIT de faire des scripts secure, qui évitent ce genre de manips...  Quoi? Ca n'existe pas des développeurs qui font des scripts secure? Si si mais faut bien chercher ^^
Plus sérieusement, bien sûr que ce n'est jamais rassurant d'avoir son mdp non crypté dans un simple fichier txt qqpart sur son serveur... mais bon un gars qui s'y connait et qui a de la patience, que tu lui donnes un mdp crypté ou non il parviendra presque toujours à ses fins... tout réside dans les moyens mis en place pour l'empêcher de récupérer ce mdp ;)

Oui c'est possible mais crypter c'est un barrage en plus!
Tien d'ailleurs je me demande ce que donne l'algo utilisé pour les pass des htaccess?

Et des développeurs qui codent sans failles... Ba... Ils doivent seuleument coder des livres d'or je suppose?

Demande à John The Ripper, c'est un tout bon pour les pass des htaccess lui :p

hasher les pass d'un htaccess ne sert pas tellement à grand chose a part si ton pass est bien compliqué et qu'il ne se trouve pas dans les dicos (ce qui est plutot rare..)
Si le htpasswd est récupéré, il y a de grande chance pour qu'il soit cracké.. Enfin ca reste mon avis !

Apres concernant les développeurs de code sécure.. Perso, j'ai pas à chercher très loin.. J'aime bien bosser avec eux et eux m'aiment bien.. (du moins je crois.. ou alors c'est mon code qu'ils aiment bien.. :/)

Ba la je dirais que c'est aussi une chose à laquelle il faut faire attention, moi ce que j'aime mettre c'est des caractere non saisissable au clavier! :D

Moi je pense que du code sans faille ca n'existe pas, sauf si on reste dans la simplicité mais dès que trop de données viennent de l'utilisateur ya toujours un risque.

Au fait, petite parenthése, "langages interprétés" ne serait-t-il pas plus juste que "langages web"? Simple question.

si bien sur... mais c'est plus parlant pour ceux qui ne sont pas vraiment dans la prog.. On a pas la prétention d'avoir un forum de prog très qualifié : il est sencé etre habordale par tous et on a pensé que ca serait plus parlant sous ce terme là.. (j'espère avoir répondu à ta question)

Bé ça dépends, Java n'est pas interprêté, il est tout de même pseudo-compilé, mais je comprend tout à fait ce que tu veux dire, le problème (à mon avis) c'est qu'étant un forum qui s'adresse aux "newbies", ben un newbie ça comprend plus vite à quoi correspond un "langage web" qu'un langage interprêté.

D'ailleurs c'est vrai que c'est le pendant logique à "langage compilé", mais sans parler de la façon dont le code s'éxécute, "langage de script" conviendrait tout autant

"Peu importe, du moment que ça se comprend", c'est la politique de mise à mon avis, sans quoi en puriste assez dur, j'ai tendance également à être aussi précis sur les termes que sur la syntaxe de mon code, mais parait-il que les newbies "ça les zembrouille la tete" quand on est un peu trop précis / pointu (pas vrai Geogeo69001 ;))

Donc au moins, "langage du web" tout le monde comprend à coups sûr...

J'aime lorsqu'on est exacte sur les termes mais je comprend aussi qu'on choisisse de l'être un peu moins en voulant s'adresser à tous. C'est pourquoi j'avais bien indiqué "Simple question".

Un type a dit un jour : "Il y a plusieurs façon de le faire !"

et il a rajouté : "le principal c'est de le faire bien" =D

:lol::lol::lol::lol::lol::lol:
MDR bon il me reste plus qu'a bosser quoi !!
Mici pour vos conseils.
:lol::lol::lol: