[WD14] Connexion FTP sécurisée ?

Fredo G-MDI avait énoncé :

Bonjour à tous,

Bonjour,

pour les mises à jours de mes logiciels je souhaite dans un
premier temps aller lire dans un répertoire sous mon serveur FTP les exe et
voir s'il faut les mettre à jour ou pas. Ma question est, est-ce qu'en
utilisant les fonctions FTPConnecte, il est possible de voir l'utilisateur et
le pass qui passe depuis le client avec un logiciel ? Savoir si je peux
utiliser ces fonctions sans qu'un utilisateur puisse voir mes comptes FTP en
clair ?

Avec un sniffer (http://www.wireshark.org/ par exemple), il est
toujours possible de récupérer login et mot de passe d'une connexion
FTP classique.

A+

--
Romain PETIT
contact : http://cerbermail.com/?O16kfXOFcq
+-+ posté sur Usenet avec MesNews et non depuis un forum web +-+
news:fr.comp.developpement.agl.windev
http://www.mesnews.net/
http://fr.wikipedia.org/wiki/Newsgroup

Fredo G-MDI a écrit :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans un
premier temps aller lire dans un répertoire sous mon serveur FTP les exe et
voir s'il faut les mettre à jour ou pas. Ma question est, est-ce qu'en
utilisant les fonctions FTPConnecte, il est possible de voir l'utilisateur
et le pass qui passe depuis le client avec un logiciel ? Savoir si je peux
utiliser ces fonctions sans qu'un utilisateur puisse voir mes comptes FTP en
clair ?

Merci d'avance pour vos réponses

Oui sans aucune difficulté, c'est à la portée de tout le monde.



--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)

"Fredo G-MDI" <fredo@hotmail.com> a écrit dans le message de news:
49f6fa70$0$32023$426a34cc@news.free.fr...

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans
un premier temps aller lire dans un répertoire sous mon serveur FTP les
exe et voir s'il faut les mettre à jour ou pas. Ma question est, est-ce
qu'en utilisant les fonctions FTPConnecte, il est possible de voir
l'utilisateur et le pass qui passe depuis le client avec un logiciel ?
Savoir si je peux utiliser ces fonctions sans qu'un utilisateur puisse
voir mes comptes FTP en clair ?

Merci d'avance pour vos réponses

Merci à vous deux !

Fredo G-MDI a écrit :

"Fredo G-MDI" <fredo@hotmail.com> a écrit dans le message de news:
49f6fa70$0$32023$426a34cc@news.free.fr...

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans
un premier temps aller lire dans un répertoire sous mon serveur FTP les
exe et voir s'il faut les mettre à jour ou pas. Ma question est, est-ce
qu'en utilisant les fonctions FTPConnecte, il est possible de voir
l'utilisateur et le pass qui passe depuis le client avec un logiciel ?
Savoir si je peux utiliser ces fonctions sans qu'un utilisateur puisse
voir mes comptes FTP en clair ?

Merci d'avance pour vos réponses

Merci à vous deux !

La solution de base est de faire ces mises a jours par HTTP.
Ce qui permet de ne pas demander de mot de passe.
Si tu a besoin de plus de sécurité et d'une demande de mot de passe,
l'utilisation de HTTPS et de l'authentification HTTP serait pas mal.
Ça se fait a travers HTTPRequête et une URL du style :
https://utilisateur:motdepasse@serveur/sous_dossier/fichier.ext
ensuite tu récupère ton fichier par HTTPDonneRésultat.

Une autre possibilité est de transmettre une authentification par
"formulaire" grace aux fonctions HTTPCréeFormulaire HTTPAjouteParamètre
HTTPAjouteFichier et HTTPEnvoieFormulaire ( qui fonctionnent aussi sur
HTTP et HTTPS )
Ça oblige a avoir un script d'authentification sur le serveur HTTP(S)
Ça permet d'ailleurs de transférer des fichier sur HTTP(S) si un script
(PHP ou ASP) traite le transfert.

A bientôt
Goof

PS : Je me sert des formulaires pour mettre a jours une base de donnée
sur un site internet. Et ça marche plutôt pas mal. j'utilise aussi le
transfert de fichiers pour envoyer des mémo images (plus simple que
d'insérer dans un BLOB dans mysql). Toute la partie Web de mon
application est en PHP/mysql (pas de webdev)
Quelques point de recherches en PHP :
$_REQUEST["Variable"] // HTTPAjouteParamètre("FORM","Variable",Valeur)
$_FILES["FICHIER1"] // HTTPAjouteFichier("FORM","FICHIER1",sFichier)
// avec dans sFichier le chemin du fichier a uploader sur le serveur

Fredo G-MDI a pensé très fort :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans un
premier temps aller lire dans un répertoire sous mon serveur FTP les exe et
voir s'il faut les mettre à jour ou pas. Ma question est, est-ce qu'en
utilisant les fonctions FTPConnecte, il est possible de voir l'utilisateur et
le pass qui passe depuis le client avec un logiciel ? Savoir si je peux
utiliser ces fonctions sans qu'un utilisateur puisse voir mes comptes FTP en
clair ?

Pourquoi ne crées tu pas un compte anonyme qui aura accès en lecture à
ton dossier d'update...

Ou alors installer un mini serveur http...

"Gilles" <boulot_SANSPOURRIEL_@neogie.com> a écrit dans le message de news:
mn.e3e87d943d12b959.21586@neogie.com...

Fredo G-MDI a pensé très fort :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans
un premier temps aller lire dans un répertoire sous mon serveur FTP les
exe et voir s'il faut les mettre à jour ou pas. Ma question est, est-ce
qu'en utilisant les fonctions FTPConnecte, il est possible de voir
l'utilisateur et le pass qui passe depuis le client avec un logiciel ?
Savoir si je peux utiliser ces fonctions sans qu'un utilisateur puisse
voir mes comptes FTP en clair ?

Pourquoi ne crées tu pas un compte anonyme qui aura accès en lecture à ton
dossier d'update...

Ou alors installer un mini serveur http...

Bonjour Gilles, parce que je ne veux pas qu'un compte anonyme se connecte à
mon serveur FTP. Je pense que je vais partir sur la solution de Goof, à
l'aide de requête HTTP et HTTPS basées sur des formulaires.

Merci à vous tous pour vos réponses

Fredo G-MDI a écrit :

"Gilles" <boulot_SANSPOURRIEL_@neogie.com> a écrit dans le message de news:
mn.e3e87d943d12b959.21586@neogie.com...

Fredo G-MDI a pensé très fort :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite dans
un premier temps aller lire dans un répertoire sous mon serveur FTP les
exe et voir s'il faut les mettre à jour ou pas. Ma question est, est-ce
qu'en utilisant les fonctions FTPConnecte, il est possible de voir
l'utilisateur et le pass qui passe depuis le client avec un logiciel ?
Savoir si je peux utiliser ces fonctions sans qu'un utilisateur puisse
voir mes comptes FTP en clair ?

Pourquoi ne crées tu pas un compte anonyme qui aura accès en lecture à ton
dossier d'update...

Ou alors installer un mini serveur http...

Bonjour Gilles, parce que je ne veux pas qu'un compte anonyme se connecte à
mon serveur FTP. Je pense que je vais partir sur la solution de Goof, à
l'aide de requête HTTP et HTTPS basées sur des formulaires.

Merci à vous tous pour vos réponses

Il faut faire en https, le http n'est pas crypté.

--
suivre ce lien pour répondre:
http://cerbermail.com/?2KrV3YZXnn
Daniel
;-)

Daniel a écrit :

Fredo G-MDI a écrit :

"Gilles" <boulot_SANSPOURRIEL_@neogie.com> a écrit dans le message de
news: mn.e3e87d943d12b959.21586@neogie.com...

Fredo G-MDI a pensé très fort :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite
dans un premier temps aller lire dans un répertoire sous mon serveur
FTP les exe et voir s'il faut les mettre à jour ou pas. Ma question
est, est-ce qu'en utilisant les fonctions FTPConnecte, il est
possible de voir l'utilisateur et le pass qui passe depuis le client
avec un logiciel ? Savoir si je peux utiliser ces fonctions sans
qu'un utilisateur puisse voir mes comptes FTP en clair ?

Pourquoi ne crées tu pas un compte anonyme qui aura accès en lecture
à ton dossier d'update...

Ou alors installer un mini serveur http...

Bonjour Gilles, parce que je ne veux pas qu'un compte anonyme se
connecte à mon serveur FTP. Je pense que je vais partir sur la
solution de Goof, à l'aide de requête HTTP et HTTPS basées sur des
formulaires.

Merci à vous tous pour vos réponses

Il faut faire en https, le http n'est pas crypté.

Oui HTTP n'est pas crypté donc les informations d'authentification
passerait en claire sur internet (comprendre tous les équipements
intermédiaires).

Après rien n'empêche de faire l'authentification sur HTTPS, avec retour
d'un jeton unique a validité limité, puis continuer en HTTP avec
uniquement la transmission de ce jeton pour valider l'accès.

Si l'on ne veut pas s'embêter avec la gestion d'un formulaire et de son
script PHP, ASP ou autre , sous apache il est possible d'utiliser les
fichiers .htaccess et .htpasswd pour authentifier les utilisateurs.
C'est méthode permet l'accès direct au fichiers (l'authentification
étant géré en natif par apache) par lson url direct.
https://utilisateur:motdepasse@serveur/sous_dossier/fichier.ext

A++
Goof

et pourquoi pas une page php ?

le soft Windev ecrypte le login et le pwd, les envoient dans l'url et la
page php (http://monsite/toto.php?param=machainealaconcryptée )à l'autre
bout decrypte
evidemment, faut eviter une url du type
?login=ljkhlhjhkhjkh?pwd=klhjkhlhjhhj

ca me parait tellement simple que j'ai du sauter un post et pas compris le
probleme dans son ensemble ^^


"Goof" <goof@altern.org> a écrit dans le message de groupe de discussion :
49f817cd$0$17080$ba4acef3@news.orange.fr...

Daniel a écrit :

Fredo G-MDI a écrit :

"Gilles" <boulot_SANSPOURRIEL_@neogie.com> a écrit dans le message de
news: mn.e3e87d943d12b959.21586@neogie.com...

Fredo G-MDI a pensé très fort :

Bonjour à tous, pour les mises à jours de mes logiciels je souhaite
dans un premier temps aller lire dans un répertoire sous mon serveur
FTP les exe et voir s'il faut les mettre à jour ou pas. Ma question
est, est-ce qu'en utilisant les fonctions FTPConnecte, il est possible
de voir l'utilisateur et le pass qui passe depuis le client avec un
logiciel ? Savoir si je peux utiliser ces fonctions sans qu'un
utilisateur puisse voir mes comptes FTP en clair ?

Pourquoi ne crées tu pas un compte anonyme qui aura accès en lecture à
ton dossier d'update...

Ou alors installer un mini serveur http...

Bonjour Gilles, parce que je ne veux pas qu'un compte anonyme se
connecte à mon serveur FTP. Je pense que je vais partir sur la solution
de Goof, à l'aide de requête HTTP et HTTPS basées sur des formulaires.

Merci à vous tous pour vos réponses

Il faut faire en https, le http n'est pas crypté.

Oui HTTP n'est pas crypté donc les informations d'authentification
passerait en claire sur internet (comprendre tous les équipements
intermédiaires).

Après rien n'empêche de faire l'authentification sur HTTPS, avec retour
d'un jeton unique a validité limité, puis continuer en HTTP avec
uniquement la transmission de ce jeton pour valider l'accès.

Si l'on ne veut pas s'embêter avec la gestion d'un formulaire et de son
script PHP, ASP ou autre , sous apache il est possible d'utiliser les
fichiers .htaccess et .htpasswd pour authentifier les utilisateurs.
C'est méthode permet l'accès direct au fichiers (l'authentification étant
géré en natif par apache) par lson url direct.
https://utilisateur:motdepasse@serveur/sous_dossier/fichier.ext

A++
Goof

tjfromparis a écrit :

et pourquoi pas une page php ?

le soft Windev ecrypte le login et le pwd, les envoient dans l'url et la
page php (http://monsite/toto.php?param=machainealaconcryptée )à l'autre
bout decrypte
evidemment, faut eviter une url du type
?login=ljkhlhjhkhjkh?pwd=klhjkhlhjhhj

ca me parait tellement simple que j'ai du sauter un post et pas compris
le probleme dans son ensemble ^^

En soit ça marche, pas de soucis.

Mais l'authentification HTTP intégré au serveur (apache entre autre mais
les autres devraient l'avoir aussi) sera il me semble plus rapide pour
"juste télécharger un fichier" et aussi moins compliqué a mettre en
place. (pas de page PHP a programmer ni de de SQL a gérer.)

Si le but est juste l'authentification et derrière un fpassthru(...),
autant déléguer l'authentification au serveur http.

Après il est vrais que si l'on ne peut pas avoir de serveur HTTPS,
l'authentification par PHP avec des variables crypté est plus sécurisé
(le mot de passe n'est pas en claire mais la variable le serra)

bref pour sécuriser les échanges HTTPS est quand même un plus.

A++

Goof