Sécuriser l'accès à une page web

[Belaran]

Je dois réaliser un projet pour mes études dans lequel on doit établir une connexion sécuriser par internet entre un pc et un serveur. Pour cela, je vais donc utiliser le protocole https. Y-a-il autre chose à faire ? Comment mieux sécuriser la connexion ?

Je compte réaliser les scripts cotés serveur à l'aide de PHP5, mais je sais que le PHP dispose de grosse lacunes coté sécurité. Quels sont-elles exactement ? est-ce que https les "efface" ? Comment les combler autrement ?Sinon qu'elle alternative au PHP ? (pitié ne me dites pas le PERL)...

Merci d'avance de toutes vos réponses, explication et/ou suggestion !

[braouazou]

https = http over ssl (l'échange de données est crypté), cela n'empêche pas l'exploit de trous de sécurité éventuellement ouverts par tes scripts PHP, mais évite l'interception des données transitant entre le client et le serveur.

http://www.commentcamarche.net/crypto/ssl.php3

Concernant PHP, les plus gros problèmes de sécurité proviennent de mauvais codes, et pas de PHP lui-même. Conseil de base : ne jamais faire confiance à l'utilisateur et à ses éventuelles saisies (dans le cas notamment des formulaires) !!

Cet article pourra t'intéresser : http://www.developer.com/lang/article.php/918141
[en anglais]

@++

[Belaran]

Merci bcp, je vais lire ces artcicles avec attention...

Par contre, je vois pas très bien comment un "mauvais code" php offre-t-il des failles de sécu. Est-ce que tu aurais des exemples à me montrer ?

[braouazou]

Les exemples sont très nombreux... et très différents selon le code !
Lepremier qui me vient à l'esprit, c'est par exemple l'utilisation de la fonction highlight_file() [ http://fr2.php.net/manual/en/function.h ... t-file.php ] qui affiche la source d'un fichier.

Si le fichier est passé en paramètre par l'url (on voit très souvent ça !!), du style affiche_source.php?fichier=mon_fichier.php, il devient alors facile, par exemple, de lire à l'aide de son navigateur un fichier contenant les mots de passe des bases de données par exemple.

Bon, c'est assez gros comme exemple, peu de gens se risquant à utiliser cette fonction sur un serveur en prod, et, si les droits des fichiers sont corrects, et que l'on fait des tests avant d'afficher la source de tel ou tel fichier, ça ne devrait pas poser de problème, mais je suis quand même tombé une fois par hasard sur le site d'une application PHP (je ne me souviens plus laquelle d'ailleurs !) qui permettait l'utilisation de cette "faille" pour lire des fichiers contenant des mots de passe !!

Voilà pour l'exemple, je te rappelle qu'ils sont très nombreux, et qu'un audit de code n'est pas du tout superflu, même quand le script parait simple et banal !

@++

[nemesis]

Hum il y a aussi la mauvaise utilisation des variables....

Toujours initialiser ses variables avec une valeur par défaut qui sera traitée comme une erreur sinon on peut arriver à passer des valeurs arbitraires dans ses variables et crer des comportements inatendus de tes scripts (ça va du plantage à l'obtention d'un acces à un compte pour un module d'authentification...) Ah oui essayer de passer les requêtes de formulaires via POST plutôt que GET ça évite d'afficher les hashs md5 des mdp ou des données qu'on veut pas montrer .

Toujours vérifier les valeurs passées dans les champs de saisie surtout si elles sont mises en bdd ensuite...

Nem.

[Belaran]

merci bcp.

Donc une fois le script bien écrit et le https utilisé, c'est sécurisé ?
Pour la connexion je pensais utilisé htaccess, est-ce suffisant ? Y a t il mieux ?

[braouazou]

Tout dépend du degré de sécurité que tu veux !
Sache tout de même qu'une faille touchant les .htaccess a justement été trouvéetrès récemment

Et rappelle-toi que la sécurité informatique est loin d'être une science exacte, la sécurité totale n'existe pas...

@+

[Belaran]

je sais

mais c'est mon projet de fin d'études et je voudrais développer "au maximum" la brique sécu de mon projet. J'avais pensé au Port Knocking mais ça m'a pas bcp plus à mon assistant. Comment pourrais-je encore ajouter une couche de sécu ? Contre quel contrainte ?

[CaTtleyA]

Bonjour, je recherche des liens ^pour bien mettre en place des serveur de mail, apache.. tutorial pour parametres correctement ceux -ci.. fichier config.. Mettre en place des procedure de connexion cryptes a ceux -ci ..
quelque que conseille pratique pour sécurisé au maximun les serveur apache en afinen,t le parametrage.
Savoir que ses produits seront installé sur des distributions debian et suse..
thk..

[fabien7]

bon je pense que tu vera pas a temps se message mais pour mieux securiser ....

tu peut utiliser des cartes d'identité electronique alias certificat x509v3 ... c'est certificats sont basés sur des clefs asymetrique (clef privé, clef publique) ... le serveur web apache peut demander le certificat du client pour savoir si le client est bien autorisé a se connecter ( en gros si il fait parti d'une communauté de confiance, et si il est bien celui qu'il pretend être), de plus le sens inverse est en meme temps possible c'est a dire que le client peut authentifier le serveur web (si le serveur est bien celui qu'il pretend etre) ...

La pour ton projet de fin d'année tu peut leur en mettre plein la vue .... bon il faut que tu te renseigne sur les authoritées de certification ... moi j'utilisait OpenCA ...

Fab