JeuWeb - Crée ton jeu par navigateur
Page protégée - Version imprimable

+- JeuWeb - Crée ton jeu par navigateur (https://jeuweb.org)
+-- Forum : Discussions, Aide, Ressources... (https://jeuweb.org/forumdisplay.php?fid=38)
+--- Forum : Programmation, infrastructure (https://jeuweb.org/forumdisplay.php?fid=51)
+--- Sujet : Page protégée (/showthread.php?tid=5391)

Pages : 1 2 3 4 5 6


RE: Page protégée - Dga - 22-08-2011

Faire son admin sur un autre domaine/sous domaine en plus de ce qui a était dit :p


RE: Page protégée - Viciousity - 22-08-2011

Sa change rien niveau sécurité ^^


RE: Page protégée - Dga - 23-08-2011

C'est une sécurité en plus car les robots ou autres ont tendance à chercher à la racine de ton site ce genre de fichier et niveau gestion c'est plus simple à sécuriser/monitorer.


RE: Page protégée - Viciousity - 23-08-2011

Normalement si ton système de gestion des droits est assez poussé, des robots tels que google ne sauront jamais accéder a l'administration. de plus une partie du genre http://monsite.com/admin/ est aussi bien que http://admin.monsite.com


RE: Page protégée - Dga - 23-08-2011

Non car monsite.com/admin répondra forcément vu que c'est sur le domaine de ton site alors qu'avec admin.monsite.com tu peux très bien ne pas le configurer sur tes serveurs DNS comme ça admin.monsite.com ne répondera pas, ensuite sur ton router ou tout simplement avec ton fichier hosts, il suffit de faire pointer admin.monsite.com vers ton serveur.

Moi par exemple mon admin est sur une VM dédié, cette VM a accès uniquement à mon réseau local de mon infra et n'est pas visible sur internet, il suffit de se connecter au VPN de l'infra pour accéder à ce réseau local et pouvoir avoir accès à l'admin.

C'est sur que si on s'amuse à faire monsite.com/nimportequoiAdmin.php ça rend la tache compliqué et dans la majorité des cas la personne laissera tombé, mais pour ma part je trouve ça moins pratique et surtout moins sur


RE: Page protégée - Akira777 - 23-08-2011

Pour ma part, je trouve que qu'une page nommée "Admin", déjà ca le fait pas... Autant mettre "Gestion" ou "BO" (back-office). Ensuite, il faut avoir une session enregistrée sur ton jeu par exemple et que ton Id Utilisateur soit défini dans un fichier texte crypté en Base64 plus un str_replace bien placé.


RE: Page protégée - Sephi-Chan - 23-08-2011

(23-08-2011, 01:46 PM)Akira777 a écrit : Pour ma part, je trouve que qu'une page nommée "Admin", déjà ca le fait pas... Autant mettre "Gestion" ou "BO" (back-office). Ensuite, il faut avoir une session enregistrée sur ton jeu par exemple et que ton Id Utilisateur soit défini dans un fichier texte crypté en Base64 plus un str_replace bien placé.

Pourquoi Base 64 ? Avoir l'information en clair ou en base 64, c'est pareil. Aucun apport en terme de sécurité.


À part ça, j'utilise très rarement l'authentification HTTP.

Mon système d'authentification repose sur un jeton de persistance. Chaque utilisateur de ma base de données en a un unique et aléatoire. Quand l'utilisateur s'identifie, je mets simplement ce jeton dans un cookie.

Ensuite, je dispose d'une méthode current_user de la forme :


def current_user
@current_user ||= User.find_by_token(cookies[:token]) if cookies[:token]
end

Après, il suffit de tester les rôles dont dispose l'utilisateur. Ou si son attribut admin est à true, ou que sais-je encore.

J'utilise pour ça le système d'ACL Declarative Authorization et ça marche bien et simplement.

Pour un site Web, je ne vois pas vraiment pourquoi faire plus compliqué.


RE: Page protégée - Viciousity - 23-08-2011

On se comprend Sephi Smile


RE: Page protégée - niahoo - 26-08-2011

ben moi je mélangerais pas l'admin et les joueurs. pourquoi donner des droits d'admin a un compte joueur en particulier ?


RE: Page protégée - Sephi-Chan - 26-08-2011

Pour capitaliser ton système d'authentification. Avec un système role-based ça a du sens.