htaccess et htpasswd pour le webmaster

[Mossadeq]

Salam et bonjour,

Encore moi avec mes problèmes en informatique

J'ai construit un site et j'aimerais mettre pour les individus qui y accedent un NOM D'UTILISATEUR et UN MOT DE PASSE.

J'ai trouvé un site qui me montre comment faire, tout va bien:

http://www.toulouse-renaissance.net/...s_htpasswd.htm

La question est la suivante:

Est-il sécuritaire ?

Merci!!

[Scorfano]

Citation:

Envoyé par Mossadeq Salam et bonjour, Encore moi avec mes problèmes en informatique J'ai construit un site et j'aimerais mettre pour les individus qui y accedent un NOM D'UTILISATEUR et UN MOT DE PASSE. J'ai trouvé un site qui me montre comment faire, tout va bien: http://www.toulouse-renaissance.net/...s_htpasswd.htm La question est la suivante: Est-il sécuritaire ? Merci!!

Bonjour,
Rien n'est sécuritaire à 100%, parce que tu mets le nom d'utilisateur et le mot de passe en clair dans le fichier htpasswd, mais enfin c'est un bon début, ce que je peux te conseiller c'est d'éviter de mettre des informations personnels sur ton site.

[Mossadeq]

Citation:

Envoyé par Scorfano Bonjour, Rien n'est sécuritaire à 100%, parce que tu mets le nom d'utilisateur et le mot de passe en clair dans le fichier htpasswd, mais enfin c'est un bon début, ce que je peux te conseiller c'est d'éviter de mettre des informations personnels sur ton site.

Bonjour!

Merci scorfano,

Malheureusement, les données que je voulais sont des informations personnelles et c'est pour cette raison que j'ai mis pour chaque individu un NOM D'UTILISATEUR et un MOT DE PASSE. Espérons que tout va pour le mieux.

Question

Comment sécuriser au maximum son site internet ?

Salam.

[Scorfano]

Citation:

Envoyé par Mossadeq Bonjour! Merci scorfano, Malheureusement, les données que je voulais sont des informations personnelles et c'est pour cette raison que j'ai mis pour chaque individu un NOM D'UTILISATEUR et un MOT DE PASSE. Espérons que tout va pour le mieux. Question Comment sécuriser au maximum son site internet ? Salam.

Bonsoir,
En utilisant les sessions, chose qui n'est pas possible avec le HTML
Pour le htacces c'est crackable (par bruteforce ou scriptkiddie)

[Mossadeq]

Citation:

Envoyé par Scorfano Bonsoir, En utilisant les sessions, chose qui n'est pas possible avec le HTML Pour le htacces c'est crackable (par bruteforce ou scriptkiddie)

Bonsoir! Salam,

Brutedorte:
'''L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne réussit que dans les cas où le mot de passe cherché est constitué de peu de caractères.

Pour contrer cette méthode, il suffit simplement de choisir des mots de passe d'une grande longueur ou des clés suffisamment grandes. Ainsi, l'attaquant devra mettre beaucoup de temps pour trouver le bon mot de passe. Cette méthode est très sensible aux capacités de calcul des machines effectuant l'algorithme.

Cette méthode est souvent combinée avec l'attaque par dictionnaire et par table arc-en-ciel pour obtenir de meilleurs résultats.'''

Je n'utilise pas des mots de passe composés de MOTS mais j'utilise des mots de passe composés d'ÉQUATIONS:

Exemple: 6e+9m+5n=@

Je ne pense pas que les scritpkiddies seront de cracker ce mot de passe.

Eh! oui, mot de passe = une équation.

[Scorfano]

Citation:

Envoyé par Mossadeq Bonsoir! Salam, Brutedorte: '''L'attaque par force brute est une méthode utilisée en cryptanalyse pour trouver un mot de passe ou une clé. Il s'agit de tester, une à une, toutes les combinaisons possibles. Cette méthode de recherche exhaustive ne réussit que dans les cas où le mot de passe cherché est constitué de peu de caractères. Pour contrer cette méthode, il suffit simplement de choisir des mots de passe d'une grande longueur ou des clés suffisamment grandes. Ainsi, l'attaquant devra mettre beaucoup de temps pour trouver le bon mot de passe. Cette méthode est très sensible aux capacités de calcul des machines effectuant l'algorithme. Cette méthode est souvent combinée avec l'attaque par dictionnaire et par table arc-en-ciel pour obtenir de meilleurs résultats.''' Je n'utilise pas des mots de passe composés de MOTS mais j'utilise des mots de passe composés d'ÉQUATIONS: Exemple: 6e+9m+5n=@ Je ne pense pas que les scritpkiddies seront de cracker ce mot de passe. Eh! oui, mot de passe = une équation.

Bonsoir,
Non mais ça dépends de type de bruteforce, avec un simple bruteforce avec reversing ça pourra marcher.
Pour le principe de reversing c'est simple, on inverse l'algorithme avec lequel le mot de passe a été codé pour pouvoir le cracker.
Actuellement même le système MD5 de cryptage est crackable malgrès que c'est un système de 128bits.

[limadala]

Salut,
Utilise les sessions. Fait avec php/mysql.
Pour le mot de passe, tu le cryptes en md5 (ça a ses failles comme dit scorfano). Mais bon, faut pas être parano.
Sinon tu as le Sha1 qui est du même genre.

Mais avant, tout sécurise ton formulaire d'inscription avec retour mail.
Tu t'éviteras des surprises.

Autre chose, choisi un hebergeur assez sérieux capable de contrer toute attaque.
Je me rappelle de mon premier hébergeur gratuit qui était down toutes les semaines suite à des attaques...

[farid_h]

Citation:

Envoyé par limadala Utilise les sessions. Fait avec php/mysql.

Tout ca c'est bien joli, mais ca ne sert pas a grande chose. Il y a plein d'attaques XSS, par ex. basees sur l'injection de SQL dans des scriptes PHP. La securite d'un site est aussi forte que le plus faible de ses maillons. Il suffit de lire regulierement la liste bugtraq pour en avoir une idee!

Pour des sites beaucoup plus securises (mais pas 100% surs non plus!), je recommende des frameworks comme Plone; mais trouver un hebergeur pour Plone coute aussi plus cher, car ce n'est pas vraiment mainstream, bien qu'il soit utilise par des sites professionels a gros debit.

[limadala]

Citation:

Envoyé par farid_h Tout ca c'est bien joli, mais ca ne sert pas a grande chose. Il y a plein d'attaques XSS, par ex. basees sur l'injection de SQL dans des scriptes PHP. La securite d'un site est aussi forte que le plus faible de ses maillons. Il suffit de lire regulierement la liste bugtraq pour en avoir une idee! Pour des sites beaucoup plus securises (mais pas 100% surs non plus!), je recommende des frameworks comme Plone; mais trouver un hebergeur pour Plone coute aussi plus cher, car ce n'est pas vraiment mainstream, bien qu'il soit utilise par des sites professionels a gros debit.

Salut Farid,
bien entendu pour les injections, mais en même temps la sécurisation ne demande pas une page de code.
Notre ami a déjà des problèmes avec les httpasswd et htaccess, je me demande sa réaction face au puissant cms qu'est plone...
Surtout au point de vue de l'hébergement.
Néanmoins, pour ceux qui veulent l'essayer:
http://www.objectis.org/