Sécurité

Sécurité - PHP - Programmation

Marsh Posté le 08-02-2010 à 17:39:10    

Bonjour,
 
Tout d'abord, désolé si un sujet semblable a déjà été créer, mais je n'ai pas trouver ce que je voulais.
 
Je voudrais creer un site avec gestions membres, et avec numero de carte bancaire etc etc...
Et donc pour cela il faut securiser le site.
 
Je n'ai trouver aucun 'tuto' ou explication  sur internet pour creer un site totalement securisé,
Je voulais donc savoir comment sécuriser un site le plus possible, avec quels languages, etc etc... ( htacces n'est pas assez sécurisé, et ca ne servirais a rien dans ce contexte, et les sessions php, ok mais je me demande si c'est suffisant.. ) Je voulais savoir aussi a quoi faire attention lors de la création de ce site ( j'ai vu des sujets a propos des injections et des includes, etc... mais je ne trouve pas cela suffisant comme information..)
 
Merci.

Reply

Marsh Posté le 08-02-2010 à 17:39:10   

Reply

Marsh Posté le 08-02-2010 à 17:48:24    

Salut,
 
En fait, ce n'est pas le langage qui va déterminer si ton site est sécurisé ou non.
Et il n'existe pas une solution miracle à appliquer non plus.
Ce n'est pas le langage lui-même qui possède des failles, mais bien le code que toi tu vas créer avec.
Il suffit de faire attention pour chaque script que tu feras quant l'existence d'éventuelles failles.
C'est donc dans le code lui-même que tu devras tester les entrées de tes fonctions, pour éviter que leur fonctionnement soit corrompu par un utilisateur un peu finaud ;)
 
Par exemple, si tu retiens des codes de carte bancaires (edit : interdit d'ailleurs), il faut t'assurer, à chaque requête vers ta base de données, que l'utilisateur qui a fait la requête est bien autorisé à accéder à ces informations.
 
Exemple :  
 
Si ([logué]) Alors
Afficher(code de carte);
 
Il faut ici que tes opérations de connexion soient inviolables, sinon un utilisateur quelconque pourra s'identifier comme étant membre en exploitant la faille que tu lui a gentiment laissé  ;)


Message édité par Pascal le nain le 08-02-2010 à 17:54:29
Reply

Marsh Posté le 08-02-2010 à 17:49:07    

lol, pour stocker des numeros de carte, il ne suffit pas de securiser ton site mais il faut egalement faire une declaration a la CNIL, tu n'as pas le droit de faire des fichiers avec tout et n'importe quoi...

Reply

Marsh Posté le 08-02-2010 à 17:50:44    

et surtout pas stocker des cartes bancaires. Je ne fais pas confiance aux sites qui stockent mon numéro de carte bancaire. je ne fais confiance que à paypal


---------------
Blablaté par Harko
Reply

Marsh Posté le 08-02-2010 à 17:53:01    

gatsu35 a écrit :

et surtout pas stocker des cartes bancaires. Je ne fais pas confiance aux sites qui stockent mon numéro de carte bancaire. je ne fais confiance que à paypal


 
Warf, la fnac, amazon & cie, ils vont pas te la bouffer  :sarcastic:

Reply

Marsh Posté le 08-02-2010 à 19:22:00    

.... ou les gros sites fiable, pas les sites codés par un péquin du dimanche.  
Et encore les failles sont si vites arrivées :o (ex sur nierle, on pouvait avoir accès à toutes les infos d'un compte et meme les informations bancaires)


---------------
Blablaté par Harko
Reply

Marsh Posté le 08-02-2010 à 23:11:41    

Cf multiples hacks de Twitter  [:pug67:2]

Reply

Marsh Posté le 09-02-2010 à 04:37:37    

Merci des réponses.
Ne vous inquietez pas, aucun numéro de CB est stocké, j'ai dis ca pour vraiment avoir des réponses pour une bonne sécu, mais les informations stockés seront nom prenom adresse et siret et autre ( je sais plus ).
 
Donc une bonne gestion des sessions et ne rien laisser paraitre dans une url suffirait à sécuriser un site ?

Reply

Marsh Posté le 09-02-2010 à 09:33:30    

Bien sur que non, il faut egalement verifier que tu ne peux pas utiliser de methodes de hack classiques. Par ex, l'injection de code sql doit etre impossible. Tu ne dois construire aucune requete style :
$sql = "select truc where $condition" sans verifier que l'utilisateur ne peut pas rentrer de code dans $condition (en saisissant toto' or 1=1 or ''=' dans son nom ou son adresse par ex).
Ce n'est qu'un exemple, faire un site totalement securise est tres loin d'etre trivial.

Reply

Marsh Posté le 09-02-2010 à 09:34:18    

Il ne faut pas seulement cacher le fonctionnement de ton site, mais aussi empêcher un fonctionnement non voulu.
Si tu veux une métaphore :
 
Tu veux stocker de l'argent liquide, que fais-tu :
Tu le cache sous un matelas dans un coin inconnu de tous ?
ou
Tu l'enferme dans une pièce blindé à la vue de tout le monde ?
 
Le mieux, c'est la pièce blindé dans un coin inconnu de tous  ;)  
 
 
Cacher ET Protéger  [:charlest]


Message édité par Pascal le nain le 09-02-2010 à 09:35:01
Reply

Marsh Posté le 09-02-2010 à 09:34:18   

Reply

Marsh Posté le 09-02-2010 à 15:52:50    

Ok.... Je crois que je vais avoir du boulot, et plusieurs semaines de prise de tête a tout vérifier ^^ Merci pour les infos ;)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed