26-10-2012, 03:54 PM
Merci cela répond à ma question :-D
Sinon vous pouvez continuez vos débat cela m'instruit ;-)
Sinon vous pouvez continuez vos débat cela m'instruit ;-)
26-10-2012, 03:54 PM
Merci cela répond à ma question :-D
Sinon vous pouvez continuez vos débat cela m'instruit ;-)
27-10-2012, 08:59 AM
En ce moment je suis en train de lire les base de php mais lors de la lecture il y a eu un gros avertissement sur la sécurité du code que l'on utilise part rapport à la faille (XSML ) quelque chose de ce genre la .
Donc j'aurai voulut savoir si vous pouviez m'éclaircir la dessus Merci
27-10-2012, 09:55 AM
Salut
Tu en est à quel chapitre sur le tuto? Sinon dans la rubrique 'securité' de php sur le SdZ il y a pas mal de tutoriels sur la sécurité. Je n'ai plus le nom des failles en tête mais si la faille que tu parle à un rapport avec les injections sql, ne t'inquiete pas tu verra plus loin les requêtes préparées. Et la normalement il n'y à plus de problème. Si tu parlais d'une autre faille alors désolé du hors sujet...
27-10-2012, 10:41 AM
Le principe d'une faille XSML est le suivant (dans les grandes lignes):
- Tu es logé en tant qu'administrateur sur ton site machin.fr - Sur ce site machin.fr, tu as des pages et des formulaires qui te permettre de modérer et d'administrer ton site (une page de suppression de compte, une pour éditer des commentaires etc) - Comme tu es en admin sur machin.fr, si ton navigateur demande une page de machin.fr, alors machin.fr croira que tu es en admin et que tu visite la page - si le développeur de truc.fr a inclut la page "supprimer_compte.php?compte_id=XXX" dans une page de truc.fr, et qu'il cachait le résultat de cette inclusion (il suffit de faire une frame non(affichée par exemple), alors machin.fr croira que tu demande la page supprimer_compte.php?compte_id=XXX" et donc, le compte d'identifiant XXX sera supprimé de machin.fr, car tu es loggé en tant qu'admin sur machin.fr Utiliser "POST" en place de "GET" pour les types de formulaires ne changera pas grand chose. Il existe des tas d'autres trucs qui peuvent être fait en cross domain (aka appeler et utiliser une page d'un domaine A=machin.fr alors qu'on se ballade sur une page du domaine B=truc.fr), mais celle-ci est la plus marquante. Après, ca, c'est appelé "XSS", pas "XSML", mais je pense que ca doit revenir à la même chose. Pour éviter ce genre de problème, généralement, on utilise un token: une valeur aléatoire dans un input hidden, valeur changée à chaque affichage de formulaire, et que se place dans le form d'origine. Cette valeur est stockée quelque part sur le serveur machin.fr. Ainsi, lorsque le serveur machin.fr reçoit un résultat de formulaire (ex: supprimer_compte.php?id=XXX) il vérifie d'abord que la token est également passée en paramlètre et qu'elle correspond à la valeur que le serveur avait envoyé. Note que le XSS est la raison pour laquelle le champ "mot de passe" doit aprfois être rempli sur un site alors que tu es déjà loggé (par exemple, pour changer son pass, il faut entrer l'ancien pass: cela évite qu'un aller simple sur la page changer_pass.php?nouvea_pass=XXX ne te change ton pass: il faut également connaitre l'ancien pass et seul changer_pass.php?nouveau=XXX&ancien=YYY permettra de changer le mot de pass, or YYY est totalement inconnu de tous, sauf de la personne a qui appartient le compte).
27-10-2012, 10:48 AM
(Modification du message : 27-10-2012, 10:49 AM par Sephi-Chan.)
Tu ne devrais pas trop te préoccuper de ces failles (je pense que tu parles de XSS), sinon tu vas faire comme les débutants, mettre des sécurités (ou plutôt ce que tu crois être des sécurités) foireuses à tort et à travers.
Pour t'expliquer quand même cette faille de XSS, ça implique d'injecter du code HTML malveillant dans une page d'un site (par exemple, dans une réponse d'un forum). Ainsi, chaque utilisateur du forum qui affichera ce message exécutera ce bout de code. L'idée étant ensuite de mettre dans ce bout de code HTML injecté du Javascript qui va par exemple transmettre les cookies du navigateur à un site pirate, qui pourra parfois usurper ces cookies pour se faire passer pour toi (un vol de session). Pour s'en prémunir, il suffit d'empêcher d'afficher du HTML d'être affiché. Cela se fait à l'affichage de chaîne de caractères fournies par les utilisateurs (issues d'une base de données, par exemple) susceptible de contenir du HTML. Il suffit d'afficher cela avec la fonction strip_tags .Ou bien parlais-tu de failles CSRF, auquel cas Xenos t'a répondu (mais en entretenant la confusion sur les noms). ^^
27-10-2012, 10:57 AM
(Modification du message : 27-10-2012, 11:05 AM par relax76011.)
Merci de toute ces précision même si il y a des chose que je n'est pas encore bien assimilé met cela pourrait mettre utile.
Avez vous déjà était piraté ? Sinon je suis au chapitre après la faille XSS La faille CSRF je ne l'est pas encore vue mais merci de ces précision à tu un exemple de code protégé et non protégé part rapport à la faille XSS ? Merci à toi
27-10-2012, 11:14 AM
Ops....
Je hais les abrv. (trollolo...) Niveau sécurité, oui, en tant que débutant, tu peux ne pas t'en préoccuper: tu ne règlera ces questions que juste avant la mise à disposition du public de tes codes/résultats. Non, jamais piraté. Enfin... pas que je sache en tous cas (ce qui n'exclus pas que si un pirate est venu faire un tour très silencieusement, je peux ne pas le savoir...) Et un exemple se trouve sur google http://www.tux-planet.fr/les-failles-de-...scripting/ (enfin, j'ai pas tout lu, j'suis peut-etre encore dans du CSRF... quoique.... ca a l'air d'etre un peu les deux)
27-10-2012, 11:42 AM
Merci pas de souci je vais le lire .
Existe t'il des nom de domaine et des serveur gratuit (hébergeur ces pareil non?)? Sinon pour le moment j'ai fait une page d'accueil sur mw3 bien que j'ai trouvé les image sur google image : Si vous voulait la voir pour me critique et me conseille je suis entièrement ok ;-) Donc envoyé vos email part privé sinon pour le moment ce n'est que du html/css
27-10-2012, 01:53 PM
Les noms de domaines sont souvent payants (généralement, c'est dans les 6€/an, pour ma part, je les loue chez OVH.com)
Sinon, il existe des hébergeurs gratuits (suffit de chercher sur google), mais les noms de domaines sont pas au choix de l'utilisateur (exemple: mon_nom.hebergeur.com) Et enfin, évite de forcer les utilisateurs à faire une action pour avoir le "droit" de regarder ton projet. Par exemple: "evoyez un MP et je vous donne l'adresse du site ou une image", c'est pas top efficace, car 95% des gens (si on considère la population "normale" du web, aka pas les gens de ce forum seulement, ca tombe à 99.9%) ne feront rien. Tu n'auras que peu de mails, et donc peu de visites. Le net est ouvert, il faut donc laisser la liberté maximale aux utilisateurs (ou au moins, leur en donner l'impression). Tu pourrai, par exemple, uploader l'image sur un site d'hébergement d'image gratuit et la partager ensuite directement sur le forum.
27-10-2012, 02:13 PM
Oui je n'y avais pas penser à sa je vous le mettrait des que possible ;-) mais car je n'est pas encore mon propre ordinateur (je l'aurai en novembre ou fin novembre ou décembre tout dépend ) donc je me suis entraîner.
Mais un serveur et un hébergeur ces pareil ou différent ? |
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[Blog] Dablog.fr : Aide à la création de jeux en ligne par navigateur ! | DA_ | 20 | 20 956 |
23-11-2014, 03:16 PM Dernier message: Beelzebuth |