[noitan]

J'aimerais faire une partie privé sur mon site pour stocker logs et autres infos persos...
J'ai trouver plusieurs idées sur le net.
J'aimerais vos avis sur .htaccess, base de données langages etc...
Si vous aviez a creer un zone membre ou juste perso reservée a l'admin **No Sms** choisiriez quoi ?

[Luther]

Si c'est juste pour une personne (admin) tu peux par exemple créé un dossier admin avec une authentification en utilisant les sessions en php
Perso j'utilise pas les .htaccess parce que j'ai toujours des problèmes avec (comment ca je sais pas les utiliser ?)

[Nebelmann]

Le mieux étant de nommer le dossier en autre que "admin", car c'est une des premières choses que je regarderais si je voulais hacker ton site...
Mais comme le dit Luther, un bon passage par session PHP ca peut être assez simple à faire... à condition de vérifier les infos dans la session sur chaque page admin

Demande à Nms, c'est le spécialiste de la sécurité PHP

[Perfect Slayer]

Tu prends tout.. plus tu cumules, plus t'es sécure.. Du moins, tant que le tout reste cohérent et que les protections ne se gènent pas les unes des autres...

[dwogsi]

Si tu veux simplement créer une zone admin qui ne sera pas multi utilisateur, au sens que tu serais donc le seul utilisateur, je pense que la solution la plus simple est d'utiliser un htaccess, sauf si tu es chez free (enfin si tu est hébergé chez free).

Ensuite si tu veux créer une zone membres, multi utilisateurs, il te faudra impérativement utiliser un langage de programmation web tel que php couplé à une base de donnée tel que MySQL (rappelons qu'ils ne sont pas les seuls existants!). D'autre part il faudra que tu penses bien la chose avant de tout construir, car le risque quand tu commence à programmer c'est les failles de sécurité. Intéresse toi au SQL Injection, XSS (appelé aussi CSS), faille d'include, etc... Je t'ai donné les plus courantes. Et pense aussi qu'un mot de passe ne se stoque jamais en clair dans une base de donnée, mais sous forme chiffrée avec SHA1 par exemple (ne plus utiliser MD5). Ensuite pour le système d'authentifiation je recommande les sessions, les cookies sont à éviter il me semble. Le mieux étant encore de coder son propre gestionnaire de sessions.

Bon je pense que j'ai plus ou moins fait le tour mais si tu as des question j'y répondrais avec plaisir.

[noitan]

Merci pour vos reponses...

Je suis chez free il ne propose pas de htaccess automatique comme wanadoo (qui lui le fait mais que pour le rep de base).
Chez free je crois qu'il faut le creer a la mimine... pourquoi tu dis "sauf si tu es chez free (enfin si tu est hébergé chez free)" ?

J'ai trouvé plusieurs truc sur le htacces si quelqu'un connais de bon tutos clair et precis, je suis preneur.

[dwogsi]

Je pense que l'usage de .htaccess chez free n'est pas une bonne idée pour la simple et bonne raison que les mots de passe ne sont pas stockés de facon chiffrée.

[noitan]

ah les vilains ....

[Nms]

Je pense que l'usage de .htaccess chez free n'est pas une bonne idée pour la simple et bonne raison que les mots de passe ne sont pas stockés de facon chiffrée.

Certes c'est une restriction dont je me serais bien passé en tant qu'utilisateur de sites free, mais il faudrait quand même pas pousser le bouchon trop loin, et juste réfléchir deux secondes! Si tu fais les choses proprement ça ne changera RIEN que ton mdp soit crypté ou pas... Tu te fais ton htaccess, et tu mets ton htpasswd dans un répertoire lui-même protégé par un htaccess avec un "Deny From All". Je te DEFIE d'arriver à chopper mon mdp si je fais comme ça (ce que j'ai fait sur plusieurs sites à moi)...

[dwogsi]

lol, je ne relève pas le défi mais je suis habitué au développement professionnel. J'entend par là du développement à destinnation d'entreprises qui ont tout intérêt à défendre au maximum leur site. Maintenant je suis daccord pour dire qu'il faut relativiser, il ne s'agit pas ici du site d'une banque...

[Nms]

Voilà tu as tout à fait saisi la où je voulais en venir!
Dsl pour la réponse un peu brutale mais tu n'es pas le premier qui me sort ce genre de trucs et c'est tombé sur toi dsl ^^

[dwogsi]

Bon pour le coup je vais développer un peu mon idée :

Je note deux choses chez freez :
- Mot de passe non chiffrés pour les .htaccess
- Pas de gestion de droit sur les fichiers

Imaginons une faille dans un script (et oui ca arrive...) qui permettrait de lire n'importe quel fichier. Pourquoi ne pas aller lire le un .htpassword?
Mais bon disons qu'on peut utiliser ce système chez free, mais je dirais avec un peu de prudence.

Ne me frappe pas....

[Nms]

Ah mais j'ai jamais dit qu'il ne fallait pas l'utiliser avec prudence, bien au contraire
Mais bon tout bon développeur qui se respecte se DOIT de faire des scripts secure, qui évitent ce genre de manips...  Quoi? Ca n'existe pas des développeurs qui font des scripts secure? Si si mais faut bien chercher ^^
Plus sérieusement, bien sûr que ce n'est jamais rassurant d'avoir son mdp non crypté dans un simple fichier txt qqpart sur son serveur... mais bon un gars qui s'y connait et qui a de la patience, que tu lui donnes un mdp crypté ou non il parviendra presque toujours à ses fins... tout réside dans les moyens mis en place pour l'empêcher de récupérer ce mdp

[dwogsi]

Oui c'est possible mais crypter c'est un barrage en plus!
Tien d'ailleurs je me demande ce que donne l'algo utilisé pour les pass des htaccess?

Et des développeurs qui codent sans failles... Ba... Ils doivent seuleument coder des livres d'or je suppose?

[Nms]

Demande à John The Ripper, c'est un tout bon pour les pass des htaccess lui :p