"sécurité" inter serveur
Bonjour,


Comment feriez vous pour résoudre le problème suivant:


j'ai deux sites distants, nommons le premier siteA et le deuxieme siteB.


Un internaute s'autentifie par htaccess/htpasswd sur le siteA, et est redirigé sur le siteB.


Comment faire pour que le siteB n'affiche une information que pour les personnes venant du siteA et personne d'autre?


Sachant qu'on ne peut pratiquement rien faire sur le siteB, pas de htaccess, pas de bdd, juste du code php.


En utilisant quelques variables du serveur (apache, php ), comme les referers et les sessions, et formulaires, on arrive à quelque chose, mais ce sont des barrières de sécurité de niveau 0.

Comment mettre plus de barrière avec si peu d'outil?

Là, ça me dépasse complètement !

Si la solution se présente ici bas j'en ferai bonne lecture... merci aux participants !

après authentification, tu pourrais sur le siteA crée un fichier nommé selon un md5(time())._mysecretnametxt.t xt par exemple, ainsi qu'un cookie avec ce md5(time()) en contenu (faut encore qu'il l'accepte), sur le siteB tu recuperes le cookie, tu vérifies sur le serveur son existence $_COOKIE['cookiename']._mysecr etnametxt.txt

s'il existe c'est ok , et tout ceci en transparence.

faut penser à :
effacer les fichiers aprés 24h (par exemple) d'existence. (pour ca tu pourrais mettre la date en contenu de ton fichier)
créer un cookie valable 24h
cacher les fichiers contenu dans le dossier de tes fichiers txt

je sais pas ce que ca vaux mais ca me semble à priori valable.

Helloo,

sur le site A en tout cas passer une variable avec $_POST parceque c'est possible avec une action sur le site B, par contre lire les cookie du site A depuis le site B, je crois que javascript ne peut pas par sécurité, pour cela je n'ai pas exploré cette solution. Le cookie serait effacer une fois le passage au site b effectué. Est-ce possible de lire un cookie posé par le siteA depuis le siteB? un petit exemle en code?

non non c'est pas possible (enfin j'espere pas ^^) j'ai juste omis ce détail (pas des moindres le détail ^^) mais dans ce cas oui un POST pourrais tout aussi faire l'affaire et pour l'utilisateur tu pourrais forcer le submit avec du javascript : onEnter:form.submit;

tout en conservant la création du fichier hein, c'est cette action qui validera le passage de ton utilisateur par le htacces

Et si je désactive les cookies et le JS... ? :(

Je n'ai malheureusement pas de solution fiable. Tu peux éventuellement te baser sur l'adresse IP du visiteur. Peux-tu modifier les pages du site A et du site B ? Tu peux éventuellement ajouter du code PHP sur le site B ?

Tu peux également expliquer pourquoi tu as besoin de 2 sites, la solution peut aussi être dans la conception de tes (ton?) sites.
S'authentifier sur un site pour naviguer sur un autre c'est conceptuellement chelou.

"S'authentifier sur un site pour naviguer sur un autre c'est conceptuellement chelou."

C'est pas le concept de base d'un site pornographique ou d'une escroquerie roumaine? huhu

Je suis d'accord avec McFly, c'est pas vraiment conventionnel.

Pour moi, ni le _POST, ni le cookie sont des solutions fiables, il serait ainsi assez facile de forcer le système.

Le md5() c'est bien, mais ça protège pas tous.. Il est plus ou moins facile pour un hacker expérimenté de le décrypter à l'aide de dictionnaires... Personnelement, j'utilise un hashage sha-1 (ou 256), bien que un peut plus lourd à l'éxécution il est un peut plus sûr que md5 (même si il existe des failles).

En contrepartie des cookies, une des solutions façile à mettre en place, et de surcroît plus fiable car coté serveur, c'est d'utiliser une base de données. Et pour simuler le temps d'expiration d'un cookie, tu mets un champs DATETIME, ou TIMESTAMP. Pour supprimer les enregistrements expirées, il faudra faire la une verif au debut de ta page ident (voir même utiliser un cron).

^^ ! Je viens de te relire, et en fait, tu ne peut pas utiliser de base de données sur le siteB ? Dans ce cas là, je ne suis pas certains qu'il existe une solution vraiment fiable. (bien qu'aucune solution est sécurisée à 100%, si seulement :)).

EDIT : il y a aussi SSL qui crypte les données que tu envois, mais je ne crois pas que cela fonctionne sur deux site distants, a voir..

C'était mon idée. Si il peut utiliser PHP sur le site B, il se connecte à la bdd du site A... Bref.

Oui, si tu pouvais nous en dire plus sur le pourquoi du comment de la nécessité d'un site B... Parceque là, la logique m'échappe.

Si comme le dit Phoenix, tu ne peux utiliser de database sur ton site B, l'interêt d'un site b m'echappe. Peut-être a t'il des fonctions particulières, du style flash server ou autre?

Autre question, si les gens qui s'indentifient sont directement déviés sur le site b, pourquoi ne pas leur demander une authentification à leur arrivée sur le site B? Càd, au lieu de faire, authentification -> lien vers B, plutot faire lien B -> authentification. Ca t'éviterait le mal de tête.