| Malleo V1.2 = Sécurité renforcée via un digicode ! |
|
 La sécurité est un des principaux sujets d'inquiétude des internautes, et particulièrement des webmasters. Malleo était vulnerable aux attaques de type cross scrypting, mais les solutions généralement utilisées par les autres CMS ne me convenaient pas.
Obliger le webmaster à retaper son mot de passe pour une session administrateur ?
pitié, il suffit que le hacker trouve le mot de passe et il en est finis de sa sécurité.
Séparer les fichiers d'administration dans un autre dossier avec un second mot de passe ?
trop contraignant dans le développement, et l'interface admin différente de l'interface publique ca m'a toujours perrtubé!
Utiliser des jetons dans toutes les taches administratives ?
Pouahh que de contraintes dans le développement ! on est fondateur, webmaster, on est assez grand pour être libre d'administrer notre site à notre rythme!
J'ai donc pensé à un système annexe, largement utilisé sur un site que je consulte très souvent..., les digicodes qui nous identifient aux sites bancaires de nos banques (Crédit Agricole, Caisse d'Epargne, etc). L'avantage est énorme, tout en offrant un maximum de liberté en matière de développement.
Avant de parler des avantages et des inconvéniants je vous explique le concept !
Comme vous pouvez le voir sur l'image à droite, quand vous tenterez d'accéder à votre zone d'administration, vous serez invité à taper votre code. Ce code est le même pour tous les fondateurs, et il représente un second rempart face aux attaques des hackers.
Le digicode se présente sous la forme d'un damier de 25 cases cliquables dont seulement 10 sont chiffrées de 0 à 9. Avec ces chiffres vous pouvez entrer votre code de 1 à 255 caractères. Vous avez le droit à 3 essais à la suites desquels vous servez bannis 1 Heure du site. Tous les fondateurs recevront alors un mail les prevenant de la tentative et pourront agir rapidement en cas de besoin. Une fois connecté vous avez 15 minutes de session admin, à chaque clic dans une page admin la session est prolongée de 15 minutes. Vous pouvez tranquille et en même temps 15m c'est assez court pour être à 99% de son temps en session fondateur "simple".
Sans rentrer dans les détails, derrière chaque case se cache un code à 5 (lettres en minuscules/majuscules et chiffres).. qui mis bout à bout forme une chaine très complexe qui sera échangée avec le site. Cette chaine est alors comparée avec la clef équivalente cryptée pour vous identifier. Il est à noter que ses images sont générées au moment de l'affichage du digicode, et détruites à chaque tentative d'identification.
Les avantages
- Si le mot de passe d'un fondateur est trouvé (souvent le même utilisé sur plusieurs sites, négligence du fondateur utilisant un mot simple, etc) ce code normalement différent permettra de stoper le hacker.
- Les attaques de types cross scripting sont évitées mais pas totalement impossibles. En tant que webmaster vous pouvez aller sur un site ayant un lien piégé qui au moment du clique va effectuer une commande dans votre Zone Admin. Au moment où vous le voyez il est déjà trop tard ! Si vous n'avez pas de chance vous pouvez faire piéger si vous surfez sur un site où on vous a piégé dans le laps des 15 minutes de session
- Celà fonctionne via un système de session donc ca ne nécéssite aucun code supplémentaire dans les pages d'administration.
Les inconvéniants
- Vous devez faire confiance aux autres fondateurs car vous partagez le même mot de passe. Normalement, vous savez qu'on ne confie pas son site au premier venu.
- Il n'y a pas de système pour réinitialiser le mot de passe, donc soit un autre fondateur vous le redonne soit vous passez par la base de données. Le but n'est pas de pouvoir le casser/modifier facilement.
Vous verrez tout ca dès la prochaine version.. 
Enjoy!
|
| Rédigé le 18/2/2009 à 20H57 par SP |
Les commentaires
caro
Peau de vache
|
Rédigé le 12/7/2010 à 06H24 |
bonjour adelito
peut etre qu'en passant directement dans la base de données ça sera plus simple pour le désactiver?
|
Adelito
|
Rédigé le 7/6/2010 à 12H27 |
ok merci.
mais pour l'instant ça ne me dit pas comment désactiver les digicodes.
je ne m'inquiète pas trop pour la sécurité, vu que je suis en mode test qui n'est pas publique.
|
SP
|
Rédigé le 7/6/2010 à 12H13 |
ca serait aussi simple je vous l'aurai proposé.
Derrière chaque case du digicode il y a une clef. Par exemple :
1 -> 1212121
2 -> 3434343
3 -> 5656565
Si votre code est le 21 la réponse envoyée au site web sera : 34343431212121
Donc si je rajoutais juste un champ de saisie il ne faudrait pas taper 12 mais ce long code.
Je vais réfléchir à une solution alternative pour la prochaine version de Malleo. Je me permettrai peut être de vous contacter quand elle sera en place pour que vous puissiez tester/valider que ca fonctionne.
|
Adelito
|
Rédigé le 7/6/2010 à 12H03 |
Bonjour,
peut-être qu'il suffit juste de mettre un champ d'édition afin qu'on puisse entrer le digicode, ça reste très sécurisé.
|
Adelito
|
Rédigé le 7/6/2010 à 10H29 |
Bonjour,
merci pour cette réponse.
webvisum ne fonctionne pas avec ce système.
mais pour désactiver le digicode, il va falloir accéder à l'administration, chose que je ne peux faire actuellement.
|
SP
|
Rédigé le 7/6/2010 à 10H20 |
Adelito je tiens à m'excuser si ce système est bloquant pour vous. Je n'ai pas de solution pour le rendre accessible à une personne malvoyante car il couple reconnaissance visuelle et clique sur les images. Un système comme Webvisum reconnait le code Captcha classique et renseigne un champ texte. Les bots procèdent exactement de la même manière ! et le but de ce système était de les éradiquer en ajoutant une action manuelle.
La seule solution que je vous propose qui est loin d'être pratique et acceptable pour vous, serait de désactiver le digicode. Vous ne seriez plus bloqué, mais votre site serait plus vulnérable aux attaques.
|
Adelito
|
Rédigé le 4/6/2010 à 17H18 |
Bonjour,
je suis un webmaster non-voyant, tout s'est très bien passé pour l'install etc... je bloque complètement quant à ce code. aucun moyen de passer. je sais qu'on n'a pas pensé aux utilisateurs comme moi.
je suis dans l'obligation d'abandonner l'utilisation de ce cms question accessibilité. merci quand même.
bon courage à vous.
PS. si c'était un captcha comme ici, le problème est résolu avec firefox et l'extension webvisum mais malheureusement ce n'est pas le cas.
|
Stephlab
|
Rédigé le 24/6/2009 à 19H06 |
|
Mdr...je m'apprétais à te répondre...sympatoche ce digicode.
|
piram
|
Rédigé le 22/6/2009 à 19H35 |
Heu...c'était vraiment une question conne....lol.... sorry..je viens de le trouver...
------> configuration générale.
Toutes mes excuses
|
piram
|
Rédigé le 22/6/2009 à 19H32 |
Heu..une petite question surement très conne..
Comment je le change ce fameux digicode...? J'ai bien le message qui me dis que je dois le changer absolument mais je dois être bigleux car je ne trouve pas où le changer....
Merci d'avance...
|
Stephlab
|
Rédigé le 5/3/2009 à 22H10 |
sans cliquer déplacer votre souris sur les chiffres....ça dit pas mal de choses quand meme.
Enfin, ça dépend comment c'est géré derrière, mais ça peut assurer si c'est bien afit, une sécu pas mal.
|
Stephlab
|
Rédigé le 5/3/2009 à 22H06 |
sans doute
rien n'est de toute manière impénétrable.
|
SP
|
Rédigé le 5/3/2009 à 21H32 |
|
Et bien avec ce système il faut déjà être fondateur du site et identifié comme tel pour accèder à l'administration.. auquel cas, le digicode apparait. Ensemble de 25 clefs dont X dans un certain ordre peuvent valider l'accès.. Je pense qu'on a fait encore plus compliqué que dans ta banque.
|
Stephlab
|
Rédigé le 5/3/2009 à 21H01 |
J'ai croisé un type de sécurité banque qui me semble tres interessant:
On doit d'une part donner d'abord l'identifiant (dans notre cas le pseudo)
Ensuite s'affiche un clavier qu'on va parcourir avec la souris afin de valider le pass (ici uniquement numérique)
..........................
Ca me semble un système très très fiable...et évidemment compliqué à concevoir...mais je tenais à vous montrer cette possibilité technique...après comment faire, ...alors là.....c'est autre chose.
|
SP
|
Rédigé le 20/2/2009 à 00H06 |
|
Charge à toi de ne pas choisir le même. LoL
|
safrane
|
Rédigé le 19/2/2009 à 23H58 |
merci m'est jespére que sa sera pas le méme code que ma banque  
|
SP
|
Rédigé le 19/2/2009 à 08H54 |
|
Tu t'y feras Showin, t'étais habituée à te reloguer pour entrer dans l'ACP de phpbb2 ? et bien c'est le même principe on s'identifie pour entrer dans l'administration. La méthode est seulement différente, et je pense plus simple pour les développeurs, et les webmasters.
|
Showin
|
Rédigé le 19/2/2009 à 01H08 |
Ca m'a l'air un peu bizarre ce truc 
Mais si c'est efficace 
|
Pascjaz
|
Rédigé le 18/2/2009 à 22H44 |
Excellent !!
Je trouve ce système hyper rassurant à la lecture des avantages décrits.
Bravo Sp
|
Liz@rd
|
Rédigé le 18/2/2009 à 22H34 |
|
Moi je trouve sa sympa, la 1ere fois qu'il m'a parlé de ça je me demandais ce que ça allais être et franchement je ne suis pas déçu du résultat.
|
caro
Peau de vache
|
Rédigé le 18/2/2009 à 22H18 |
ah oui j'ai eu une sacrée surprise tout à l'heure
je me suis dit : tiens une grille sudoku ?
ok je sors ... excellente idée
|
Magyc_mrmcl
|
Rédigé le 18/2/2009 à 22H03 |
|
Bravo on te fait confiance
|
Ajouter un commentaire
|
| Malleo V1.3 |
Taille: 4.62Mo
Téléchargé 11865 fois |
 |
| Qui est en ligne ? |
0 membre, 1 bot et 4 invités en ligne: , Yahoo [Bot], 4 invités
8 membres, 6 bots et 243 invités sont passés dans les dernières 24H: albator, Fantole, Homer54, Olivier, pl@tondog, SHEITAN, Shirizu, Showin, Yahoo [Bot], Sosospider, Ask Jeeves [Bot], MSN [Bot], Google [Bot], Baidu [Spider], 243 invités
Légende des groupes:
Fondateurs
Graphistes
Codeurs
Adaptateurs
Supporters
VIP
|
|
Accueil
Arcade de Jeux
Polaroïds
Géolocalisation
Me Contacter
Membres
Mon Compte
Connecter
Malleo V1.2 = Sécurité renforcée via un digicode !
