LapinGarou 0 Posté(e) le 29 juillet 2007 Partager Posté(e) le 29 juillet 2007 Bonjour à tous. Voilà, je suis entrain de créer ma page perso sur free, et j'aimerai faire un système de login, pour que ceux qui ne sont pas membres n'aient pas accès à tout. Bon, ce n'est un pas un site de transactions boursières non plus ni une banque. Alors question : est-il vital que je crypte le mot de passe choisi par chaque utilisateur lors de l'ajout à la base, dans la table des utilisateurs ? La table a cette allure là : membre(mbr_id, mbr_pseudo, mbr_pwd, mbr_typedecompte) Ca fait longtemps que j'ai arrêté la programmation web (depuis le bts) pour me spécialiser en c++, donc si vous avez de meilleurs conseils, je suis preneur. Merci. Lien à poster
rjds 0 Posté(e) le 29 juillet 2007 Partager Posté(e) le 29 juillet 2007 sauvergarde juste les mots de passe hashé en MD5 par exemple. comme ca les pwd seront pas en clair, mais en cas de fuite sur la base de donnée les mots resterons protégés. dans la limite de la technique de hashage MD5 et dans la limite de la complexité des mots de passe. un mot de passe milou01 ou tata07 ne resistera pas bien longtemps à john par exemple Lien à poster
Sharpshooter 0 Posté(e) le 30 juillet 2007 Partager Posté(e) le 30 juillet 2007 Les banques représentent rarement le summum de la sécurité informatique. Il n'y a qu'à voir le temps qu'ils ont mis à se mettre aux clefs de plus de 128 bits ! Pour répondre à ton problème j'aurais tendance à dire que si le fichier qui contient les mots de passe est accessible... alors les fichiers "protégés par mot de passe" le sont aussi ! Si c'est juste un problème d'accès crée les utilisateurs dans Apache, comme ça tu auras le cryptage et le fichier inaccessible. Lien à poster
LapinGarou 0 Posté(e) le 30 juillet 2007 Auteur Partager Posté(e) le 30 juillet 2007 Merci à vous deux. Sharpshooter>C'est à dire ? les droits d'accès aux répertoires ? .htaccess et .htpassword (que je renommerai évidement) Lien à poster
PoP 0 Posté(e) le 31 juillet 2007 Partager Posté(e) le 31 juillet 2007 Juste une question : ton site perso, c'est un truc statique où du XHTML suffit largement ou bien tu as du contenu dynamique et tu vas utiliser un langage de script? Si t'es dans le premier cas t'emmerde pas, un fichier .htaccess et c'est reglé. Lien à poster
LapinGarou 0 Posté(e) le 31 juillet 2007 Auteur Partager Posté(e) le 31 juillet 2007 Le contenu va bouger, sur la page de garde par exemple, je vais y mettre des news, il va y avoir un forum (sais pas trop encore quel CMS), des photos, etc. C'est un site dynamique ? (statique = vitrine ?) Lien à poster
Carambar 18 Posté(e) le 31 juillet 2007 Partager Posté(e) le 31 juillet 2007 Par statique, on entend généralement - reprenez-moi si je me trompe - que le concepteur a écrit chaque page (X)HTML (avec CSS éventuellement) à la main ou avec un logiciel dédié, mais dont le contenu est figé. Ca se faisait beaucoup il y a quelques années pour les pages perso, mais plus tellement à l'heure actuelle : le moindre blog exploite une base de données. Lien à poster
LapinGarou 0 Posté(e) le 31 juillet 2007 Auteur Partager Posté(e) le 31 juillet 2007 Logiquement, j'aurai dit dynamique : il y a une bdd, du php, du js, des membres, des news, donc ça bouge. M'enfin, comme certains disent que Ajax est un langage... je trouve les termes du web un peu flous. Lien à poster
Sharpshooter 0 Posté(e) le 31 juillet 2007 Partager Posté(e) le 31 juillet 2007 Bon ben laisse tomber le .htaccess. A mon avis ça ne doit pas être difficile en PHP de chiffrer les mots de passes. Lien à poster
PoP 0 Posté(e) le 31 juillet 2007 Partager Posté(e) le 31 juillet 2007 Pour faire une simplification : statique = les pages sont écrites "en dur" dynamique = les pages sont construites "à la volée". Lien à poster
LapinGarou 0 Posté(e) le 1 août 2007 Auteur Partager Posté(e) le 1 août 2007 Ok. Un collègue m'a conseillé de faire simple : un fichier index.htm ou.php, vide, dans les répertoires que je veux protéger. Est-ce valable ? Un simple client ftp et hop ? (bon il faut encore qu'il trouve mon mot de passe, mais il a déjà mon login, donc le travail est un peu maché par free aussi...) Lien à poster
jmb 3 Posté(e) le 1 août 2007 Partager Posté(e) le 1 août 2007 de toutes facons, si quelqu'un réussi à avoir tes identifiants ftp, il aura acces au contenu du site quelque soit la protection choisie (et je crois que le mot de passe est le même pour la base de donnée mysql) Lien à poster
Carambar 18 Posté(e) le 1 août 2007 Partager Posté(e) le 1 août 2007 jmb+1 Un .htacess contenant un simple "deny from all" est aussi assez efficace dans son genre. Lien à poster
LapinGarou 0 Posté(e) le 1 août 2007 Auteur Partager Posté(e) le 1 août 2007 Bon, et si je merde dans la config du htaccess et tout et tout, je n'aurai plus accès qu'avec le ftp dans ce cas ? (pas envie d'avoir à demander un reset du compte) Lien à poster
Carambar 18 Posté(e) le 1 août 2007 Partager Posté(e) le 1 août 2007 T'inquiète, il suffit d'effacer le fichier .htacess avec ton client FTP pour que tout revienne à la normale. Tu peux aussi protéger un répertoire avec accès par mot de passe et identifiant : il faut préciser où se trouve le fichier de mots de passe (idéalement dans un répertoire protégé par un htacess stipulant "deny from all"). Imaginons : tu as ton site http://lapingarou.free.fr (EDIT : ça existe déjà :oups) Tu veux protéger lapingarou.free.fr/prive => Tu y mets un .htacess précisant : PerlSetVar AuthFile prive/motdepasse/pass.txt AuthName "Accès restreint" AuthType Basic Require user lapingarou amidelapingarou (cette syntaxe est particulière à Free) Dans le répertoire prive/motdepasse (sous-répertoire de prive), tu mets les fichiers suivants : un .htacess avec : "deny from all" un fichier pass.txt contenant par exemple : "lapingarou:monmotdepasse" "amidelapingarou:autremotdepasse" Le tout sans guillemets. Et si possible avec des noms de répertoires et de fichiers moins évidents (sauf les .htacess => fichier texte sous windows, par ex htacess.txt, que tu renommes une fois uploadé sur le FTP en .htacess, cette opération étant impossible sous windows). Voilà, j'espère que je ne me suis pas loupé, je n'ai pas trop le temps de vérifier, car je pars en vacances. Bon courage ! Lien à poster
LapinGarou 0 Posté(e) le 2 août 2007 Auteur Partager Posté(e) le 2 août 2007 Ca m'a l'air bon, j'avais vu à peu près ça, tu ne t'es pas planté. Je vais essayer. lapingarou étant déjà pris, j'ai dû reprendre mon ancien pseudo... pfff, pour voir ce qu'il en a fait... lapun... Lien à poster
Messages recommandés