Je suis totalement nulle sur le sujet alors voici mon problème.
Nous désirons créer un site pour notre association mais nous voulons
que l'accès soit limité par un mot de passe unique fourni aux adhérents
sur demande par mail (donc nous connaissons leur email !)
Jusque-là, mes petits camarades savent faire !
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son
email lors de la connexion et vérifier ainsi ou même seulement a
posteriori s'il ne s'agit pas d'un "clandestin" ;o)
dans (in) fr.reseaux.internet.hebergement, Michele Morin ecrivait (wrote) :
Bonjour,
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son email lors de la connexion et vérifier ainsi ou même seulement a posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Est-ce possible "simplement" ?
Simplement, tout est relatif, mais possible, oui.
Si oui, comment ?
En gérant des variables de session et/ou des cookies par exemple.
En fonction du langage de programmation utilisé, les solutions peuvent être différentes.
-- Eric Demeester - http://www.galacsys.net
dans (in) fr.reseaux.internet.hebergement, Michele Morin
<minoumorin@aol.comm> ecrivait (wrote) :
Bonjour,
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son
email lors de la connexion et vérifier ainsi ou même seulement a
posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Est-ce possible "simplement" ?
Simplement, tout est relatif, mais possible, oui.
Si oui, comment ?
En gérant des variables de session et/ou des cookies par exemple.
En fonction du langage de programmation utilisé, les solutions peuvent
être différentes.
dans (in) fr.reseaux.internet.hebergement, Michele Morin ecrivait (wrote) :
Bonjour,
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son email lors de la connexion et vérifier ainsi ou même seulement a posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Est-ce possible "simplement" ?
Simplement, tout est relatif, mais possible, oui.
Si oui, comment ?
En gérant des variables de session et/ou des cookies par exemple.
En fonction du langage de programmation utilisé, les solutions peuvent être différentes.
-- Eric Demeester - http://www.galacsys.net
Michele Morin
En gérant des variables de session et/ou des cookies par exemple. Via des variables, oui mais non par des cookies
En fonction du langage de programmation utilisé, les solutions peuvent être différentes.
Je sais qu'ils utilisent Firefox.
Donc vous pensez que c'est possible ?
-- Michèle
En gérant des variables de session et/ou des cookies par exemple.
Via des variables, oui mais non par des cookies
En fonction du langage de programmation utilisé, les solutions peuvent
être différentes.
Oui, c'est possible. Il y a sur ce site des explications et un exemple en PHP : http://phpsec.org/projects/guide/fr/4.html
J'invite votre développeur à lire attentivement tout ce qui concerne la sécurité.
Merci ! je transmets.
-- Michèle
Patrick Mevzek
Donc vous pensez que c'est possible ?
Oui, c'est possible. Il y a sur ce site des explications et un exemple en PHP : http://phpsec.org/projects/guide/fr/4.html
J'invite votre développeur à lire attentivement tout ce qui concerne la sécurité.
Avec un esprit critique : le coup de tester User-Agent c'est du pipeau... La note oublie de préciser qu'on peut très bien avoir un client *sans* User-Agent, c'est le cas s'il passe par un proxy qui anonymise.
D'autre part il n'y a pas 3 millions de User-Agent différents dans la nature : il serait donc trivial en quelques secondes de tester toutes les valeurs possibles (en tout cas les plus probables) et de tomber sur la bonne.
Donc la méthode proposée n'est pas suffisante IMNSHO.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Donc vous pensez que c'est possible ?
Oui, c'est possible. Il y a sur ce site des explications et un exemple
en PHP : http://phpsec.org/projects/guide/fr/4.html
J'invite votre développeur à lire attentivement tout ce qui concerne la
sécurité.
Avec un esprit critique : le coup de tester User-Agent c'est du pipeau...
La note oublie de préciser qu'on peut très bien avoir un client *sans*
User-Agent, c'est le cas s'il passe par un proxy qui anonymise.
D'autre part il n'y a pas 3 millions de User-Agent différents dans la
nature :
il serait donc trivial en quelques secondes de tester toutes les valeurs
possibles (en tout cas les plus probables) et de tomber sur la bonne.
Donc la méthode proposée n'est pas suffisante IMNSHO.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
<http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Oui, c'est possible. Il y a sur ce site des explications et un exemple en PHP : http://phpsec.org/projects/guide/fr/4.html
J'invite votre développeur à lire attentivement tout ce qui concerne la sécurité.
Avec un esprit critique : le coup de tester User-Agent c'est du pipeau... La note oublie de préciser qu'on peut très bien avoir un client *sans* User-Agent, c'est le cas s'il passe par un proxy qui anonymise.
D'autre part il n'y a pas 3 millions de User-Agent différents dans la nature : il serait donc trivial en quelques secondes de tester toutes les valeurs possibles (en tout cas les plus probables) et de tomber sur la bonne.
Donc la méthode proposée n'est pas suffisante IMNSHO.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Patrick Mevzek
Nous désirons créer un site pour notre association mais nous voulons que l'accès soit limité par un mot de passe unique fourni aux adhérents sur demande par mail (donc nous connaissons leur email !) Jusque-là, mes petits camarades savent faire !
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son email lors de la connexion et vérifier ainsi ou même seulement a posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Si vous voulez dire : je veux connaître l'adresse email de la personne qui surfe actuellement sur mon site en vérifiant directement dans son ordinateur, la réponse est non, ce n'est pas possible.
Maintenant, pour savoir qui vient, il suffit de distribuer des accès différents à chacun, et de conserver des traces (horodatées, avec IP, et en-têtes HTTP) des accès. Et là c'est possible, même indispensable et assez trivial.
Après le mécanisme d'authentification et éventuellement de session, y a des millions de façons de faire cà, dont 99% faillibles. Pour les détails il faudra va sur un groupe spécifique à votre langage/plate-forme/serveur, c'est légèrement hors charte ici.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Nous désirons créer un site pour notre association mais nous voulons
que l'accès soit limité par un mot de passe unique fourni aux adhérents
sur demande par mail (donc nous connaissons leur email !)
Jusque-là, mes petits camarades savent faire !
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son
email lors de la connexion et vérifier ainsi ou même seulement a
posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Si vous voulez dire : je veux connaître l'adresse email de la personne
qui surfe actuellement sur mon site en vérifiant directement dans son
ordinateur, la réponse est non, ce n'est pas possible.
Maintenant, pour savoir qui vient, il suffit de distribuer des accès
différents à chacun, et de conserver des traces (horodatées, avec IP,
et en-têtes HTTP) des accès. Et là c'est possible, même indispensable
et assez trivial.
Après le mécanisme d'authentification et éventuellement de session, y a
des millions de façons de faire cà, dont 99% faillibles. Pour les
détails il faudra va sur un groupe spécifique à votre
langage/plate-forme/serveur, c'est légèrement hors charte ici.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
<http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Nous désirons créer un site pour notre association mais nous voulons que l'accès soit limité par un mot de passe unique fourni aux adhérents sur demande par mail (donc nous connaissons leur email !) Jusque-là, mes petits camarades savent faire !
Mais pour contrôler QUI se connecte nous voulons pouvoir récupérer son email lors de la connexion et vérifier ainsi ou même seulement a posteriori s'il ne s'agit pas d'un "clandestin" ;o)
Si vous voulez dire : je veux connaître l'adresse email de la personne qui surfe actuellement sur mon site en vérifiant directement dans son ordinateur, la réponse est non, ce n'est pas possible.
Maintenant, pour savoir qui vient, il suffit de distribuer des accès différents à chacun, et de conserver des traces (horodatées, avec IP, et en-têtes HTTP) des accès. Et là c'est possible, même indispensable et assez trivial.
Après le mécanisme d'authentification et éventuellement de session, y a des millions de façons de faire cà, dont 99% faillibles. Pour les détails il faudra va sur un groupe spécifique à votre langage/plate-forme/serveur, c'est légèrement hors charte ici.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Michele Morin
Patrick Mevzek avait soumis l'idée :
Si vous voulez dire : je veux connaître l'adresse email de la personne qui surfe actuellement sur mon site en vérifiant directement dans son ordinateur, la réponse est non, ce n'est pas possible.
Pas tout a fait !
Maintenant, pour savoir qui vient, il suffit de distribuer des accès différents à chacun, et de conserver des traces (horodatées, avec IP, et en-têtes HTTP) des accès. Et là c'est possible, même indispensable et assez trivial.
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué uniquement par mail. Et le but, c'est de vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
Après le mécanisme d'authentification et éventuellement de session, y a des millions de façons de faire cà, dont 99% faillibles. Pour les détails il faudra va sur un groupe spécifique à votre langage/plate-forme/serveur, c'est légèrement hors charte ici.
OK ! Merci.
-- Michèle
Patrick Mevzek avait soumis l'idée :
Si vous voulez dire : je veux connaître l'adresse email de la personne
qui surfe actuellement sur mon site en vérifiant directement dans son
ordinateur, la réponse est non, ce n'est pas possible.
Pas tout a fait !
Maintenant, pour savoir qui vient, il suffit de distribuer des accès
différents à chacun, et de conserver des traces (horodatées, avec IP,
et en-têtes HTTP) des accès. Et là c'est possible, même indispensable
et assez trivial.
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué
uniquement par mail. Et le but, c'est de vérifier que celui qui se
connecte en donnant le bon mot de passe est bien dans la liste de ceux
qui l'ont demandé.
Après le mécanisme d'authentification et éventuellement de session, y a
des millions de façons de faire cà, dont 99% faillibles. Pour les
détails il faudra va sur un groupe spécifique à votre
langage/plate-forme/serveur, c'est légèrement hors charte ici.
Si vous voulez dire : je veux connaître l'adresse email de la personne qui surfe actuellement sur mon site en vérifiant directement dans son ordinateur, la réponse est non, ce n'est pas possible.
Pas tout a fait !
Maintenant, pour savoir qui vient, il suffit de distribuer des accès différents à chacun, et de conserver des traces (horodatées, avec IP, et en-têtes HTTP) des accès. Et là c'est possible, même indispensable et assez trivial.
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué uniquement par mail. Et le but, c'est de vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
Après le mécanisme d'authentification et éventuellement de session, y a des millions de façons de faire cà, dont 99% faillibles. Pour les détails il faudra va sur un groupe spécifique à votre langage/plate-forme/serveur, c'est légèrement hors charte ici.
OK ! Merci.
-- Michèle
Patrick Mevzek
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué uniquement par mail.
Votre faille se situe ici.
Et le but, c'est de vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
Seule façon correcte de faire : donner des mots de passe différents, en insistant sur le fait qu'il n'est pas cessible. Puis monitorer qui fait quoi.
Si vous partagez les accès, c'est le plus court chemin vers les problèmes...
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué
uniquement par mail.
Votre faille se situe ici.
Et le but, c'est de vérifier que celui qui se
connecte en donnant le bon mot de passe est bien dans la liste de ceux
qui l'ont demandé.
Seule façon correcte de faire : donner des mots de passe différents, en
insistant sur le fait qu'il n'est pas cessible.
Puis monitorer qui fait quoi.
Si vous partagez les accès, c'est le plus court chemin vers les
problèmes...
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
<http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Il n'y aura qu'un seul mot de passe, le même pour tous mais communiqué uniquement par mail.
Votre faille se situe ici. D'accord mais si j'en prend le risque ?
Ce contrôle, c'est-à-dire :
vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
est-il possible ou non ?
Seule façon correcte de faire : donner des mots de passe différents, en insistant sur le fait qu'il n'est pas cessible. Puis monitorer qui fait quoi.
Si vous partagez les accès, c'est le plus court chemin vers les problèmes...
-- Michèle
Patrick Mevzek
Ce contrôle, c'est-à-dire :
vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
est-il possible ou non ?
Je vous ai déjà répondu : vous ne pouvez PAS connaître l'adresse email de la personne qui surfe sur votre site... sauf à faire que l'adresse email soit l'identifiant lié au mot de passe. Donc, vous ne contrôlez plus rien du tout au final.
Mais encore une fois, dès que les accès sont partagés tout espoir de faire quelque chose qui a du sens s'envole. Le jour où il y aura un problème, vous serez incapable d'identifier la fuite... donc de la combler.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
Ce contrôle, c'est-à-dire :
vérifier que celui qui se
connecte en donnant le bon mot de passe est bien dans la liste de ceux
qui l'ont demandé.
est-il possible ou non ?
Je vous ai déjà répondu : vous ne pouvez PAS connaître l'adresse email
de la personne qui surfe sur votre site... sauf à faire que l'adresse
email soit l'identifiant lié au mot de passe.
Donc, vous ne contrôlez plus rien du tout au final.
Mais encore une fois, dès que les accès sont partagés tout espoir de
faire quelque chose qui a du sens s'envole.
Le jour où il y aura un problème, vous serez incapable d'identifier la
fuite... donc de la combler.
--
Patrick Mevzek . . . . . . Dot and Co (Paris, France)
<http://www.dotandco.net/> <http://www.dotandco.com/>
<http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
vérifier que celui qui se connecte en donnant le bon mot de passe est bien dans la liste de ceux qui l'ont demandé.
est-il possible ou non ?
Je vous ai déjà répondu : vous ne pouvez PAS connaître l'adresse email de la personne qui surfe sur votre site... sauf à faire que l'adresse email soit l'identifiant lié au mot de passe. Donc, vous ne contrôlez plus rien du tout au final.
Mais encore une fois, dès que les accès sont partagés tout espoir de faire quelque chose qui a du sens s'envole. Le jour où il y aura un problème, vous serez incapable d'identifier la fuite... donc de la combler.
-- Patrick Mevzek . . . . . . Dot and Co (Paris, France) <http://www.dotandco.net/> <http://www.dotandco.com/> <http://www.dotandco.net/ressources/icann_registries/verisign_com_net/registrars_COM.fr>
