Bonjour,
J’ai créé depuis plusieurs années un site sur Ouvaton en Php qui demande un login/mdp en http/POST
Je souhaiterais le sécuriser un peu en le passant en https
Quand j’appelle en https la page que j’appelais en http, j’ai une erreur 403.
Comment faire pour bénéficier du cryptage du mot de passe en https ?
Merci de vos liumières
Benoit
Bonjour,
Nous ne proposons pas la mise en place d’un accès SSL sur la plateforme mutualisée.
Il est peut-être possible, mais j’en doute, d’utiliser un bidouillage pour utiliser SSL sur un site. Si c’est le cas, je ne sais pas du tout comment ça marche…
[quote=benoit]Bonjour,
J’ai créé depuis plusieurs années un site sur Ouvaton en Php qui demande un login/mdp en http/POST
Je souhaiterais le sécuriser un peu en le passant en https
Quand j’appelle en https la page que j’appelais en http, j’ai une erreur 403.
Comment faire pour bénéficier du cryptage du mot de passe en https ?
Merci de vos liumières
Benoit[/quote]
De ce que j’avais lu à une époque si tu fais une authentification avec Grain de sel (technique qui consiste à ne jamais faire passer le mdp en clair dans les requetes) et que tu n’es pas une banque, c’est déjà largement ok !
Il doit y avoir un article sur developpez.com sur le sujet. Je crois que spip utilise ce système.
Grosso modo :
Client envoie Login
Serveur renvoie Grain de sel correspondant au login
Le client envoie hash du GDS+mdp (sha ou md5), hash executé côté client en js
Le serveur vérifie concordance login / hash en bdd
(défaut : nécessite 2 pages ou un coup d’ajax)
Deux avantages :
- tu ne stockes pas de mdp en clair dans ta base
- tu ne fais pas transiter des mdp en clair sur un réseau ouvert par exemple
C’est pas imparable (genre sniffeur de traffic en réseau ouvert, ça doit être prenable), mais vu que c’est plus poussé que la moyenne…
a+
Nico
Voilaaaaaaaaaaaaaaaaaaaa
http://matthieu.developpez.com/authentification
Si il y a un groupe intéressé, je peux accompagner la mise en place avec plusieurs personnes…
Bonne lecture
Nico