Protection SSL pour peel...

[negoce 5]

Bonjour,

 //M2K.JS

//la fonction de hachage côté client


function m2k_c(i,s,sl)

{

	d=new Array(64);

	e=s.charCodeAt(i);

	t=353+e+sl;

	t=(t%2==0)?t+33:t;

	u=33+i;

	for(n=0;n<64;n++) d[n]=t%(n+u);

	return d;

}

function m2k(s)

{

	k=new Array(32);

	c=new Array(32);

	sl=s.length;

	s=s+s.substr(0,1);

	a=m2k_c(0,s,sl);

	for(n=0;n<32;n++) k[n]=0;

	for(i=0;i<sl;i++)

	{

		b=m2k_c(i+1,s,sl);

		for(n=0;n<32;n++)

		{

			c[n]=a[n]*b[(n+i+32)%32+32];

			k[n]+=c[n];

		}

		a=b;

	}

	var h='';

	for(n=0;n<32;n++) h+=(k[n]%16).toString(16);

	return h;

}




//M2K.PHP

//la fonction de hachage côté serveur(doit être la même que côté client)


<?

function m2k_c($i,$s,$sl)

{

	$e=ord(substr($s,$i,1));

	$t=353+$e+$sl;

	$t=($t%2==0)?$t+33:$t;

	$u=33+$i;

	for($n=0;$n<64;$n++) $d[$n]=$t%($n+$u);

	return $d;

}


function m2k($s)

{

	$sl=strlen($s);

	$s=$s.substr($s,0,1);

	$a=m2k_c(0,$s,$sl);

	for($i=0;$i<$sl;$i++)

	{

		$b=m2k_c($i+1,$s,$sl);

		for($n=0;$n<32;$n++)

		{

			$c[$n]=$a[$n]*$b[($n+$i+32)%32+32];

			$k[$n]+=$c[$n];

		}

		$a=$b;

	}

	for($n=0;$n<32;$n++) $h.=dechex($k[$n]%16);

	return $h;

}

?>




//INDEX.PHP

//la page qui contient le formulaire pour taper le log et le passe qui sera envoyé haché


<?

//en tete commune

?>

<html>

<center>

<?


//si un login a été envoyé

if(isset($login))

{

	//ici le mot de passe c est admin, j ai pas exigé de login car ca sert a rien pour la demo

	//sinon c est ici que vous choppez votre mot de passe apres avoir intérogé une base de donnée

	$sqlpassword="admin";

	//on inclue le script php qui contient la meme fonction de hachage que le javascript de la premiere page

	include("m2k.php");

	//on encode le préfixe et le mot de passe, comme la premiere page l a fait en javascript(voir en bas)

	$mpassword=m2k($prefix.$sqlpassword);

	//on compare les 2 qui doivent etre égaux

	if($password==$mpassword)

	{

		//on affiche un message pour dire que c est bon

		echo "bonjour $login vous etes parvenu a vous connecter avec succès<br> sans faire circuler votre mot de passe en clair sur le réseau.<br>(Grâce à la méthode get du formulaire qui de passer les variables dans l adresse,<br> vous pouvez vous pouvez constater que password est haché,<br> votre mot de passe ne figure nul part et passe nul part en clair)";

		//apres il faut gérer ca avec des variables de session

		//pour les initiés pas de pb, pour les novices allez sur http://www.php.net/manual/fr/

		//c est un tres bon manuel pour apprendre php.

	}

	//si les 2 sont pas egale c est po bon

	else

	{

		//donc on affiche un message aussi

		echo "ce n est pas le bon mot de passe regardez la source d'index.php";

	}

}

else

{

?>

<!-- on inclue le javascript qui contient l algorithme de hachage-->

<script language=javascript src=m2k.js></script>


<b>Accès : </b><br>


<!--

il y a d abord un 'faux' formulaire dans lequel l utilisateur met son log et son pass

attention !  ces données ne sont pas envoyés

-->

<form>

Login :<br>

<input type=text name=f_name size=17 maxlength=16 id=f_login><br>

Passe :<br>

<input type=password name=f_password size=17 maxlength=16 id=f_password><br>

</form>


<!-- le vrai formulaire i je fais expres de mettre une méthode get pour que vous puissiez voir les paramètres dans l url-->

<form action=index.php method=get>

<!--login et password sont vide il vont etre rempli au moment du clic sur ok -->

<input type=hidden name=login value="" id=sf_login>

<input type=hidden name=password value="" id=sf_password>

<!-- on envoi un préfix qui est le nombre de seconde unix, il servir pour composer le mot de passe haché -->

<input type=hidden name=prefix value=<? echo time(); ?> id=sf_prefix>


<!--

LA ligne LA plus importante

Le bouton d envoi du formulaire prend le nom du faux formulaire, le met dans le vrai

enfin il colle le préfixe(nombre de seconde unix) et le mot de passe,

cette chaine va etre haché grace a la fonction de hachage contenu dans le javascript inclu au dessus

le résultat est stocké dans le champ sf_password, le vrai mot de passe crypté en fonction de la date,

donc pour un meme mot de passe, on aura toujours un résultat haché différent !

-->

<input type=submit value="ok" Onclick="getElementById('sf_login').value=getElementById('f_login').value;getElementById('sf_password').value=m2k(getElementById('sf_prefix').value+getElementById('f_password').value);">


</form>

<?

}//fin si pas de login encore rentré


//pied commun

?>

</center>

</html>

Merci de votre aide...

[noya_m 0]

Bonjour,

le script est au chaud !!

je vous l'envoi sur demande...

Merci de votre aide...

je suis preneur :P

[atila-diffusion 0]

pourquoi quel est le probleme?

Il te suffit de charger les pages mon compte et commander par une adresse en https non?

[negoce 5]

Bonjour,

mais on le fait comment ??

à bientôt...

[atila-diffusion 0]

ben en fait tu dois le demander en plus chez toi hebergeur. Ca te permet de le faire de maniere sure en permanence.

et en plus dans ce cas là, tes clients verront le cadenas.

Toi tu n'auras que des liens à changer..

[negoce 5]

Bonjour,

mon hebergeur me parle de 9E de plus par an !

est ce normal ??

à bientôt...

[atila-diffusion 0]

oui oui normal.

<moi je m'en sers pour tout ce qui est backoffice.

[negoce 5]

Bonjour,

je ne comprend pas ta réponse ??!!

à bientôt...

[alexis 0]

l'option SSL n'est effectivement plus cher chez certains hebergeurs.

Par contre la signature d'un certificat SSL par un organisme agrée et reconnu par tous les navigateurs là c'est autre chose et ça peut chiffrer.

à moins qu'il ne me manque une info, je n'ai jamais trouvé de possibilité de fournir du httpS à moins de 300 euros/ans et bien souvent c'est autour de 400 euros que ça se chiffre.

je me trompe ?

[negoce 5]

Bonjour,

franchement je ne sais pas !!

mon hebergeur me propose 9€ à voir si c'est par moi ou par an !!

justement le script proposé tiré sur un forum d'echange de savoir à l'air d'avoir une excélente note !!

si une personne est capable de en sorte de tripoter le code pour peel !!

je suis ok..à bientôt...

[alexis 0]

RE...

Ici en ce qui concerne le SSL, on ne parle pas de script ou autres en fait.

Il faut distinguer au minimum trois choses :

- La liaison SSL ( c'est cela qui doit couter 9€ )

- Le certificat sécurisé ( en général un certificat personel est fourni gratuitement avec la liaison SSL )

- La signature et l'approbation de ce certificat par un organisme reconnu et approuvé

C'est cette derniere " chose " qui revient le plus cher. Une fois la liaison SSL ouverte, le certificat mis en place, la soumission de ce certificat auprés d'un organisme est l'étape ultime qui te permettra de proposer du httpS sans qu'il y'ait une alerte de sécurité émises par les navigateurs disant que ton certificat n'est pas signé, n'est pas valide ou est peut etre frauduleux.

Voila en gros.

[negoce 5]

Bonjour,

merci pour les infos...

donc en résumé...

tu me conseil de garder la structute peel comme elle est ??

ou passer en ssl ?

à bientôt...

[alexis 0]

Bonjour,

merci pour les infos...

donc en résumé...

tu me conseil de garder la structute peel comme elle est ??

ou passer en ssl ?

à bientôt...

Ne passe en SSL que si tu comptes installer un " vrai " paiement sécurisé sur ton site en liaison direct avec ta banque, car j'avais oublié, obtenir une liaison SSL complète n'est " utile " que si tu gére les paiement directement sur ton site. Et à tous les frais, il faut rajouter les frais du TPE ( Terminal de Paiement Electronique ) fourni par ta banque et la aussi ça douille sévere !

Pour une petite activité de vente, le paypal est suffisant.

Sinon ben tu fais comme tu veux !

[negoce 5]

Bonjour,

ah d'accord ça ne me servira pas alors !!

merci de ton aide...

à bientôt..

[atila-diffusion 0]

@alexis, va chez ovh; 4,40E par mois et meme ton ftp est sous ssl!

regarde negoce, j'ai tester connexion sans chiffrage sur mon site, j'ai pu sniffer sans probleme le nom et le login car ils passent en clair. regarde ETHEREAL et ce programme te convaincra

[negoce 5]

Bonjour,

d'où mon intérêt pour le code ci seddus !!

il est dit insnuffable !!

ou très très difficilement sniffable !!

donc il n'y a pas de sécurité avec peel actuellement ?!

et puis je suis chez un fournisseur très sérieux en plus à 7.50€ par mois !!

presque à moitier pris et pour plus d'avantage !! c'est pas chez ovh ou un autre...

qui te répondenet dans l'heure ou qui t'appel... ou que tu peux appeler preque à tout moment !!

oui je viens de regarder ils proposent : Liaison SSL 128 bits à 6€ par an !

je ne vais pas me casser la tête... je vais le prendre...

à bientôt...

[atila-diffusion 0]

après, te faudra adapter peel, (deux lignes) pour que mon compte passe sous https...

(changement de liens)

[negoce 5]

Bonjour,

ok !!

merci...

à bientôt...

[alexis 0]

Bonjour,

d'où mon intérêt pour le code ci seddus !!

il est dit insnuffable !!

ou très très difficilement sniffable !!

donc il n'y a pas de sécurité avec peel actuellement ?!

et puis je suis chez un fournisseur très sérieux en plus à 7.50€ par mois !!

presque à moitier pris et pour plus d'avantage !! c'est pas chez ovh ou un autre...

qui te répondenet dans l'heure ou qui t'appel... ou que tu peux appeler preque à tout moment !!

oui je viens de regarder ils proposent : Liaison SSL 128 bits à 6€ par an !

je ne vais pas me casser la tête... je vais le prendre...

à bientôt...

Infomaniak....

Mis à part ça tu fais comme tu veux mais je te parle pas dans le vent. je sais de quoi je parle. Il ne faut pas confondre la protection SSL ( garantie par un certificat légal de ton hebergeur ovh ou autre ) et le certificat de sécurité qui sont deux choses certes complémentaires mais distinctes !

Infomaniak te fournira une liaison SSL et un certificat personel mais celui çi, le certificat, devra être signé par un organisme dûment reconnu et agrée et qui fait autorité en la matière. Certes tu auras du ssl avec l'option d'Infomaniak mais comme les navigateurs ne reconnaitrons pas ton certificat, si celui çi n'est pas signé et crypté par un organisme, je le repéte certifié, qui identifie clairement ton site etc, le navigateur ne cessera d'envoyer au visiteur sur ton site des alertes disant que le certificat de ton site n'est pas signé et qu'il n'est peut être pas digne de confiance. Alors à ton avis que va penser ou faire un client lambda face à un tel message ? de plus avec Vista et avec IE7 tes pages ne s'afficheront pas avec un certificat non signé, il faudra que le visiteur clique sur un lien du genre " je veux continuer malgré les risques ".

Enfin bref, ce dont je te parle c'est pas de " il parait que " mais de qq chose que je connais. alors si tu tiens absolument à mettre du https dans tes liens, il te faut relire ce que je t'ai ecris à propos de l'interet d'une telle chose si tu ne possede pas de liaison directe avec ta banque.

quand à la sécurité de Peel Shopping, pour l'avoir audité, elle est suffisante mais elle peut être améliorée. Ce que je fais d'ailleurs mais en prestation de service.

voila.

Petit proverbe africain modelé à la sauce occidentale :

" Si tu emprunte la route de " je m'en fous je le fais quand meme " tu arriveras au village de " si j'avais su.... "

[atila-diffusion 0]

ah bon amélioré? c'est à dire?

J'ai vérifié la protection du fichier info.inc.php

Même si le gars qui fait son site ne change ni le repertoire, ni le nom, il n'y a aucun risque de l'atteindre à moins de pouvoir se logguer sur le serveur avec un accés ftp, autrement dit sur ceci la sécurité ne laisse rien à redire.

Pour l'identification par session, c'est aussi sécurisé que cela peut l'etre...

Que veux tu dire par là?

[alexis 0]

je veux dire qu'en plus de l'url rewriting que je mets en place, les urls sont filtrées contre tout ce qui n'a rien a y faire. cela rend l'injection sql , l'execution de javascript ( dans le but de recuperer des cookies etc ) ou le detournement des variables impossible.

[negoce 5]

Bonjour,

Tu parle d'Infomaniak un certains nombre de très grands groupes y sont !!

je pense qu'ils sont aussi compétants qu'un autre, voir plus...

sinon bien ton proverbe !!

nous sommes doués pour les proverbes...

à bientôt...

[atila-diffusion 0]

Pourquoi ne partages tu pas le fruit de ton travail? cela ferait grandement avancer le schmilblik...

Tu trouve preneur pour ton peel amélioré?

je trouve normal de vendre des services, mais pas normal de modifier du code source gratuit et de ne pas le publier pour le partager avec les autres.

Tu me comprend?

[negoce 5]

Bonjour,

je suis d'accord avec toi atila !!

Alexis je suis dessus !!

soit partageur...

à bientôt...

[alexis 0]

voila le type d'avertissement qu'on obtient avec une liaison SSL sans un certificat signé.

pour mes travaux je reponds : joker !