Protéger l'accès d'un site extranet
Protéger l'accès d'un site extranet - PHP - Programmation
Marsh Posté le 31-05-2018 à 12:14:26
Pourquoi ne pas utiliser un annuaire LDAP ou Active Directory (sous Windows) ?
---------------
J'ai un string dans l'array (Paris Hilton)
Marsh Posté le 31-05-2018 à 21:59:38
Bonsoir,
Les ordinateurs qui accèdent à l'extranet, ne sont pas dans le domaine ou réseau local.
Marsh Posté le 04-06-2018 à 21:46:38
Quelques pistes:
- filtrage par IP ou nom d'hote via apache2
=> problématique si les IP sont dynamiques
et les IP peuvent être sniffées.
- uiliser des certificats côté clients:
https://www.jscape.com/blog/client- [...] entication
A mon avis cette dernière option est à privilégier
---------------
collectionneur de pâtes thermiques
Marsh Posté le 04-06-2018 à 22:10:11
Merci.
Oui une IP peut être usurpée, mais je me demandais s'il n'y avait pas d'autre information à récupérer qui permet d'identifier l'utilisateur, sa version de navigateur, ...
J'ai réfléchi de mon coté, peut être je pourrai ouvrir l'accès à une IP sur une durée limité (4h), après que l'utilisateur ait valide un code spécifique, ça limiterait pas mal les risques, non ? Sauf si le pirate connais l'ip de l'utilisateur, sait que l'accès est ouvert.
Pour les certificats, il s'agit du système que l'on trouve sur certain site qui nous demande de confirmer l'obtention d'un certificat (https://bdffx42837.i.lithium.com/t5 [...] 4D4F?v=1.0), donc tout le monde peut demander. Ou il s'agit d'un système qui attribut à un PC ou utilisateur son propre certificat, dans ce cas quel serait les conditions d'obtention et est-il possible d'exporter au format P12 pour l'importer sur un autre PC ?
Pour ma part je n'imagine pas prendre des certificats RGS sur support clé.
Merci par avance.
Marsh Posté le 05-06-2018 à 11:40:55
| snike a écrit : Merci. |
Pour le certificat, le premier que tu citess est un certificat de type server-side, c'est à dire que le certificat permet d'authentifier le site que tu vas consulter comme étant bien celui qu'il prétant être.
Dans ton cas, il s'agit plutot de certificat client-side: si le client ne possède pas le certificat lui permettant de s'authentifier sur le site, il n'aura pas accès au site.
Perso je connais juste le principe mais je n'ai pas d'expérience concrète de ce genre de sécurité.
Si tu ne veux pas utiliser une clé USB pour le déployement des certificats, tu peux te tourner vers un service d'envoi de fichier sécurisé
par ex: https://korben.info/bluefiles-secur [...] elles.html
---------------
collectionneur de pâtes thermiques
Marsh Posté le 06-06-2018 à 08:25:23
Justement le client-side (merci pour l'info je ne connaissait pas les noms) peut être exporter et réimporté dans un autre PC, non ?
Sujets relatifs:
- Bouton skype (code javascript) pas reconnu dans html du site Jimdo
- site internet avec des exemples.
- extraire fichier .gpx d'un site web
- Déterminer les versions SSL/TLS supportés par un site
- Comment savoir quelle version de SSL/TLS Est accepté par un site
- language bas niveau ? accès au matériel
- Faire une copie de son site via un sous-domaine
- site qui s'affiche différement suivant le navigateur
- Accès fichier local dans une web extension
- securiser l'acces à la base mysql
Marsh Posté le 31-05-2018 à 08:35:29
Bonjour,
Dans le cadre d'un projet d'un site extranet je cherche les moyens les plus fiables pour éviter un piratage.
Le site serait développé sous php, il y aurait un identifiant et mot de passe, mais il faudrait également restreindre les ordinateurs qui y auraient accès.
Comment identifier un ordinateur correctement ?
Est-ce que l'emploi d'une web extension installée sur le navigateur permettrait d'aider le navigateur à identifier un ordinateur ? Le faite que la source (de l'extension) ne soit pas masqué est-ce risqué ?
Avez-vous des idées de protection sans aller jusqu'au VPN, ça doit rester simple à mettre en place.
Merci par avance.