file_get_contents + login-password

[toto2525]

Salut à tous,

Une petite question de sécurité :

J'ai un script php qui va chercher sur un autre site des informations, l'url vers laquelle je me connecte est du style http://mon_login:mon_password@www.le-si ... -page.html et j'utilise la fonction php file_get_contents afin de récupérer les infos que je souhaite.

Tout ceci est transparent pour l'internaute, il ne sait pas qu'on se connecte sur http://mon_login:mon_password@www.le-si ... -page.html mais je me posais la question de savoir si quelqu'un (de plus ou moins malveillant) ne pouvait pas récupérer mon login et mon password qui est présent (en clair) dans l'url http://mon_login:mon_password@www.le-si ... -page.html afin de se connecter après sur ce site avec mes identifiants de connection ?

Qu'en pensez-vous ?

[seebz]

c'est ton serveur qui se connecte à l'autre serveur et pas le visiteur de ton site.

la ou il pourrait y avoir un risque, c'est si il y a un sniffer réseau entre ton serveur et l'autre.

[toto2525]

Merci seebz,

Est-ce que ça te parait donc "securit" comme procédé ?

Qui pourrait mettre un sniffer entre les 2 serveurs ? Un hacker peut-il faire cela ?

[skippyzrnr]

mais est-ce transparent niveau referer? car un hit malencontreux dans le fichier chargé peut aller stocker une ligne qui tue sur un log apache... tu devrais vérifier ca aussi.

[toto2525]

Est-ce que tu peux développer un peu skippyzrnr car j'ai pas tout pigé ?

[webmasterlamogere]

il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url

[skippyzrnr]

imagine dans le fichier que tu charges il y a une image hotlinkée sur serveur X
la page A aspire la page B pour l'afficher
si par accident la page B est loadée dans un navigateur l'image va etre affichée depuis le serveur X.
le serveur X aura dans ses logs un hit pour cette image depuis l'url B (avec peut-etre login et mot de passe)

desolé j'ai un peu de mal a m'expliquer...

[skippyzrnr]

il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url

+1
exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité

[toto2525]

Je teste que la connection avec la page dont je souhaite récupérer les infos soit bonne et opérationnelle, de ce fait est-ce malgré ce test la fonction file_get_contents peut rencontrer un problème et afficher l'url ?

Quand tu dis skippyzrnr :

exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité

Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :

Code: Tout sélectionner

$url_fp = @file_get_contents($url_page);

C'est quoi une image hotlinkée ?

[webmasterlamogere]

Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :

Code: Tout sélectionner

$url_fp = @file_get_contents($url_page);

c'est la meilleur solution puisque le préfixe @ supprime l'affichage d'une message d'erreur.

[skippyzrnr]

je parle bien de ce @

une image hotlinkée c'est une image qui n'ai pas sur ton serveur :
par exemple

[toto2525]

Merci pour vos réponses, si j'ai bien compris le risque de voir apparaitre l'url avec mes indentifiants existe mais il est minime.

J'ai une autre question :

Je voudrais coder une partie de l'url ou apparait mes identifiants (login et password), je fais cela déjà pour mes emails, voici la fonction que j'utilise :

Code: Tout sélectionner

function email_encode($string)
     {
     $ret_string="";
     $len=strlen($string);
     for($x=0;$x<$len;$x++)
          {
          $ord=ord(substr($string,$x,1));
          $ret_string.="&#$ord;";
          }
     return $ret_string;
     }


J'ai essayé d'encoder dans l'url mes identifiants mais ça ne marche plus !

Code: Tout sélectionner

http://".email_encode("$login_et_password")."www.le-site.com/la-page.html

Y a plus de connection possible.

Quelqu'un voit-il pourquoi ?

[bozoleclown]

il s'agit d'une authentification httpbasic

donc non ca ne pourra pas apparaitre dans le referer
par contre l'http-basic c'est décodable donc oui si quelqu'un sniff le réseau il peut avoir ton password mais bon on va dire que le risque est minime