Bonjour, suite à mon post sur les moyens de protéger l'accès à des
scripts d'administration j'ai jeté un coup d'oeil aux fonction openssl de
php.
J'ai pas compris grand chose, alors j'ai cherché sur le web une
définition de SSL et j'ai trouvé ceci chez Cisco :
"Secure Socket Layer (SSL) is an application-level protocol that enables
secure transactions of data through privacy, authentication, and data
integrity. It relies upon certificates, public keys, and private keys.
Certificates are similar to digital ID cards. They prove the identity of
the server to clients. Certificates are issued by Certificate Authorities
(CAs) such as VeriSign® or Thawte. Each certificate includes the name of
the authority that issued it, the name of the entity to which the
certificate was issued, the entity's public key, and time stamps that
indicate the certificate's expiration date.
Public and private keys are the ciphers used to encrypt and decrypt
information. While the public key is shared quite freely, the private key
is never given out. Each public-private key pair works together: data
encrypted with the public key can only be decrypted with the private
key."
J'ai l'impression que l'utilité de SSL est de permettre à un client
d'être rassuré quant au site sur lequel il se connecte.
Dans mon cas, c'est le contraire, c'est le site qui a besoin de savoir si
ce client est autorisé à se connecter (sur un principe identique à celui
de ssh et de ses clés privées et publiques).
Si ssl n'est pas la adapté à ce que je veux faire, quelle solution puis-
je utiliser ?
Donc, revenons en à PHP, voici ce que je voudrais :
- un script PHP va être exécuté
- il récupère la clé publique "installée" sur le navigateur du client
- il compare sa concordance avec la clé privée installée sur le serveur
(clé que l'utilisateur n'a jamais eu)
- si c'est bon alors on se poursuit l'éxecution...
Quelle est la technologie qui va me permettre d'arriver à cette solution
?
Excusez moi d'utiliser ici un vocabulaire approximatif pour désigner tel
ou tel élément.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
KEvin
Zouplaz a proclame :
Bonjour, suite à mon post sur les moyens de protéger l'accès à des scripts d'administration j'ai jeté un coup d'oeil aux fonction openssl de php. (...) J'ai l'impression que l'utilité de SSL est de permettre à un client d'être rassuré quant au site sur lequel il se connecte.
oui en general ca sert a ca en plus de securiser la connexion
Dans mon cas, c'est le contraire, c'est le site qui a besoin de savoir si ce client est autorisé à se connecter (sur un principe identique à celui de ssh et de ses clés privées et publiques).
tu peux le faire aussi mais il faut alors gerer des certificats clients et avoir une "autorite de certification" qui generera ces certificats pour tes clients.
Si ssl n'est pas la adapté à ce que je veux faire, quelle solution puis- je utiliser ?
ssl est adapte mais je ne suis pas sur que le module de php le soit ... par contre il doit etre possible de mettre en place un tel systeme au niveau du serveur web, seulement la on sort du cadre de ce newsgroup (et de mon experience perso ...)
Donc, revenons en à PHP, voici ce que je voudrais : - un script PHP va être exécuté - il récupère la clé publique "installée" sur le navigateur du client - il compare sa concordance avec la clé privée installée sur le serveur (clé que l'utilisateur n'a jamais eu) - si c'est bon alors on se poursuit l'éxecution...
Quelle est la technologie qui va me permettre d'arriver à cette solution ?
en pratique je pense que ca devrait plutot se passer comme ca: - tu fournis un certificat a tes clients qu'ils installent sur leurs navigateurs - quand ils arrivent sur ton site (en ssl) il y a echange de certificats et creation d'une session ssl entre leurs navigateurs et ton serveur web - en php tu recupere le certificat fourni au serveur par le client grace aux variables ad-hoc creees dans _SERVER par ton serveur web et tu fais les verifs que tu veux
-- KEvin
Zouplaz a proclame :
Bonjour, suite à mon post sur les moyens de protéger l'accès à des
scripts d'administration j'ai jeté un coup d'oeil aux fonction openssl de
php.
(...)
J'ai l'impression que l'utilité de SSL est de permettre à un client
d'être rassuré quant au site sur lequel il se connecte.
oui en general ca sert a ca en plus de securiser la connexion
Dans mon cas, c'est le contraire, c'est le site qui a besoin de savoir si
ce client est autorisé à se connecter (sur un principe identique à celui
de ssh et de ses clés privées et publiques).
tu peux le faire aussi mais il faut alors gerer des certificats clients
et avoir une "autorite de certification" qui generera ces certificats
pour tes clients.
Si ssl n'est pas la adapté à ce que je veux faire, quelle solution puis-
je utiliser ?
ssl est adapte mais je ne suis pas sur que le module de php le soit ...
par contre il doit etre possible de mettre en place un tel systeme au
niveau du serveur web, seulement la on sort du cadre de ce newsgroup
(et de mon experience perso ...)
Donc, revenons en à PHP, voici ce que je voudrais :
- un script PHP va être exécuté
- il récupère la clé publique "installée" sur le navigateur du client
- il compare sa concordance avec la clé privée installée sur le serveur
(clé que l'utilisateur n'a jamais eu)
- si c'est bon alors on se poursuit l'éxecution...
Quelle est la technologie qui va me permettre d'arriver à cette solution
?
en pratique je pense que ca devrait plutot se passer comme ca:
- tu fournis un certificat a tes clients qu'ils installent sur leurs
navigateurs
- quand ils arrivent sur ton site (en ssl) il y a echange de
certificats et creation d'une session ssl entre leurs navigateurs et
ton serveur web
- en php tu recupere le certificat fourni au serveur par le client
grace aux variables ad-hoc creees dans _SERVER par ton serveur web et
tu fais les verifs que tu veux
Bonjour, suite à mon post sur les moyens de protéger l'accès à des scripts d'administration j'ai jeté un coup d'oeil aux fonction openssl de php. (...) J'ai l'impression que l'utilité de SSL est de permettre à un client d'être rassuré quant au site sur lequel il se connecte.
oui en general ca sert a ca en plus de securiser la connexion
Dans mon cas, c'est le contraire, c'est le site qui a besoin de savoir si ce client est autorisé à se connecter (sur un principe identique à celui de ssh et de ses clés privées et publiques).
tu peux le faire aussi mais il faut alors gerer des certificats clients et avoir une "autorite de certification" qui generera ces certificats pour tes clients.
Si ssl n'est pas la adapté à ce que je veux faire, quelle solution puis- je utiliser ?
ssl est adapte mais je ne suis pas sur que le module de php le soit ... par contre il doit etre possible de mettre en place un tel systeme au niveau du serveur web, seulement la on sort du cadre de ce newsgroup (et de mon experience perso ...)
Donc, revenons en à PHP, voici ce que je voudrais : - un script PHP va être exécuté - il récupère la clé publique "installée" sur le navigateur du client - il compare sa concordance avec la clé privée installée sur le serveur (clé que l'utilisateur n'a jamais eu) - si c'est bon alors on se poursuit l'éxecution...
Quelle est la technologie qui va me permettre d'arriver à cette solution ?
en pratique je pense que ca devrait plutot se passer comme ca: - tu fournis un certificat a tes clients qu'ils installent sur leurs navigateurs - quand ils arrivent sur ton site (en ssl) il y a echange de certificats et creation d'une session ssl entre leurs navigateurs et ton serveur web - en php tu recupere le certificat fourni au serveur par le client grace aux variables ad-hoc creees dans _SERVER par ton serveur web et tu fais les verifs que tu veux
