file_get_contents + login-password
13 messages
• Page 1 sur 1
- toto2525
- WRInaute occasionnel

- Messages: 349
- Inscription: 20 Sep 2007
file_get_contents + login-password
Salut à tous,
Une petite question de sécurité :
J'ai un script php qui va chercher sur un autre site des informations, l'url vers laquelle je me connecte est du style http://mon_login:mon_password@www.le-si ... -page.html et j'utilise la fonction php file_get_contents afin de récupérer les infos que je souhaite.
Tout ceci est transparent pour l'internaute, il ne sait pas qu'on se connecte sur http://mon_login:mon_password@www.le-si ... -page.html mais je me posais la question de savoir si quelqu'un (de plus ou moins malveillant) ne pouvait pas récupérer mon login et mon password qui est présent (en clair) dans l'url http://mon_login:mon_password@www.le-si ... -page.html afin de se connecter après sur ce site avec mes identifiants de connection ?
Qu'en pensez-vous ?
Une petite question de sécurité :
J'ai un script php qui va chercher sur un autre site des informations, l'url vers laquelle je me connecte est du style http://mon_login:mon_password@www.le-si ... -page.html et j'utilise la fonction php file_get_contents afin de récupérer les infos que je souhaite.
Tout ceci est transparent pour l'internaute, il ne sait pas qu'on se connecte sur http://mon_login:mon_password@www.le-si ... -page.html mais je me posais la question de savoir si quelqu'un (de plus ou moins malveillant) ne pouvait pas récupérer mon login et mon password qui est présent (en clair) dans l'url http://mon_login:mon_password@www.le-si ... -page.html afin de se connecter après sur ce site avec mes identifiants de connection ?
Qu'en pensez-vous ?
- skippyzrnr
- WRInaute impliqué

- Messages: 664
- Inscription: 11 Jan 2005
mais est-ce transparent niveau referer? car un hit malencontreux dans le fichier chargé peut aller stocker une ligne qui tue sur un log apache... tu devrais vérifier ca aussi. 
-

webmasterlamogere - WRInaute passionné

- Messages: 1874
- Inscription: 17 Déc 2006
il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url
- skippyzrnr
- WRInaute impliqué

- Messages: 664
- Inscription: 11 Jan 2005
imagine dans le fichier que tu charges il y a une image hotlinkée sur serveur X
la page A aspire la page B pour l'afficher
si par accident la page B est loadée dans un navigateur l'image va etre affichée depuis le serveur X.
le serveur X aura dans ses logs un hit pour cette image depuis l'url B (avec peut-etre login et mot de passe)
desolé j'ai un peu de mal a m'expliquer...
la page A aspire la page B pour l'afficher
si par accident la page B est loadée dans un navigateur l'image va etre affichée depuis le serveur X.
le serveur X aura dans ses logs un hit pour cette image depuis l'url B (avec peut-etre login et mot de passe)
desolé j'ai un peu de mal a m'expliquer...
- skippyzrnr
- WRInaute impliqué

- Messages: 664
- Inscription: 11 Jan 2005
webmasterlamogere a écrit:il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url
+1
exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité
- toto2525
- WRInaute occasionnel

- Messages: 349
- Inscription: 20 Sep 2007
Je teste que la connection avec la page dont je souhaite récupérer les infos soit bonne et opérationnelle, de ce fait est-ce malgré ce test la fonction file_get_contents peut rencontrer un problème et afficher l'url ?
Quand tu dis skippyzrnr :
Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
C'est quoi une image hotlinkée ?
Quand tu dis skippyzrnr :
exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité
Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
- Code: Tout sélectionner
$url_fp = @file_get_contents($url_page);
C'est quoi une image hotlinkée ?
-

webmasterlamogere - WRInaute passionné

- Messages: 1874
- Inscription: 17 Déc 2006
toto2525 a écrit:Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
- Code: Tout sélectionner
$url_fp = @file_get_contents($url_page);
c'est la meilleur solution puisque le préfixe @ supprime l'affichage d'une message d'erreur.
- skippyzrnr
- WRInaute impliqué

- Messages: 664
- Inscription: 11 Jan 2005
je parle bien de ce @
une image hotlinkée c'est une image qui n'ai pas sur ton serveur :
par exemple 
une image hotlinkée c'est une image qui n'ai pas sur ton serveur :
par exemple - toto2525
- WRInaute occasionnel

- Messages: 349
- Inscription: 20 Sep 2007
Merci pour vos réponses, si j'ai bien compris le risque de voir apparaitre l'url avec mes indentifiants existe mais il est minime.
J'ai une autre question :
Je voudrais coder une partie de l'url ou apparait mes identifiants (login et password), je fais cela déjà pour mes emails, voici la fonction que j'utilise :
J'ai essayé d'encoder dans l'url mes identifiants mais ça ne marche plus !
Y a plus de connection possible.
Quelqu'un voit-il pourquoi ?
J'ai une autre question :
Je voudrais coder une partie de l'url ou apparait mes identifiants (login et password), je fais cela déjà pour mes emails, voici la fonction que j'utilise :
- Code: Tout sélectionner
function email_encode($string)
{
$ret_string="";
$len=strlen($string);
for($x=0;$x<$len;$x++)
{
$ord=ord(substr($string,$x,1));
$ret_string.="&#$ord;";
}
return $ret_string;
}
J'ai essayé d'encoder dans l'url mes identifiants mais ça ne marche plus !
- Code: Tout sélectionner
http://".email_encode("$login_et_password")."www.le-site.com/la-page.html
Y a plus de connection possible.
Quelqu'un voit-il pourquoi ?
- bozoleclown
- WRInaute impliqué

- Messages: 893
- Inscription: 24 Nov 2005
il s'agit d'une authentification httpbasic
donc non ca ne pourra pas apparaitre dans le referer
par contre l'http-basic c'est décodable donc oui si quelqu'un sniff le réseau il peut avoir ton password mais bon on va dire que le risque est minime
donc non ca ne pourra pas apparaitre dans le referer
par contre l'http-basic c'est décodable donc oui si quelqu'un sniff le réseau il peut avoir ton password mais bon on va dire que le risque est minime
13 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- champs d'identification login // password.
- login password et MD5: oui mais pourquoi ?
- FIREFOX - Mémoriser un login/password pour une page https
- Rediriger login.free.fr vers login.online.fr
- [RESOLU] About file get contents
- duplicate contents ; un probleme ou pas ?
- Duplicate Contents entre site et forum ?
- taille fichiers autorisés avec file get contents chez 1and1
- Problemes de password
- Wordpress: protection via password (htpsasswd)?
- Pour votre référencement, utilisez un nom de domaine ! - 13-01-2009
- GlobalWarming Awareness2007 : dommages collatéraux chez Wikipedia - 22-01-2007
- Yandex Webmaster Tools : tutoriel en français - 25-02-2010
- La guerre Google Microsoft aura bien lieu - 02-02-2004
- Annuaire WRI : c'est la saison des validations ! - 12-11-2007
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
