PHWinfo - Afficher un message - Re: [FRENCH] Blocage des visiteurs non autoriser par IP/HOSTNAME

21/08/2007, 18h29

Salut,

> DEFFiCE wrote:
>> Et pour ne pas laisser la sécurité à la légère, on n'est jamais assez
>> protéger des attaques internet j'aimerais que cette restriction ce
>> face sur base de l'ip/hostname des visiteurs.

Bof, pas très fiable car dans l'univers internet, la plupart des IP sont
allouées dynamiquement. A contrario, cette restriction bloquerait un
utilisateur légitime qui se connecterait d'un lieu imprévu...

>> C'est-à-dire que j'aimerais stocker dans ma base de donner des
>> hostnames et ip des personnes autoriser d'accès.
>> Par exemple avoir dans ma table pour
>> amarseille-251-1-13-243.w83-113.abo.wanadoo.fr (83.13.1.251) la valeur
>> en table amarseille-%.w83-113.abo.wanadoo.fr ou 83.13.%.% etc. afin de
>> géré les IP dynamique.

Ne crois pas que les IP dynamiques sont forcément données dans des
tranches proches !

>> Et à partir de sa si le visiteur qui ce présente à une ip ou un host
>> qui correspond a aucune entrer en base lui afficher une erreur 404. Et
>> tout sa en prenant en compte que les IPs et hosts mise en base sont
>> avec un caractère joker ( % ).
>>
>> Partant de cette idéologie, je pense que la procédure a faire est de
>> prendre IP et HOST du visiteur avec :
>> $ip = $_SERVER["REMOTE_ADDR"];

Attention, ne procure aucune sécurité dans le cas où le visiteur se
connecte à travers un proxy, confère la FAQ de ce forum :
http://faqfclphp.free.fr/#rub7.5

>> comme les IP/HOST on des
>> caractères joker % comment procédé a un LIKE SQL à sens inverse ? Est-
>> il possible de faire sa ? Je ne pense pas... et vous ?
>>
>> Alors si je réfléchis un peut plus je me demande si avec des
>> expressions régulier il n'aurait pas moyen ?

sa sait pas si conpliquer :

Si la base de données est MySql, les instructions :
$IP = '^83\\.13\\.[0-9]{1,3}\\.[0-9]{1,3}$';
$sql = "select IP from latable where IP regexp '$ip'";
renverront les IP commençant par 83.13.

> Sa me semble compliquer et très farfelue ... donnez moi votre avis,
> votre aide, votre expérience...

Je te conseille le doc de Maître John :
http://www.saphirtech.com/securite_web_dynamique.pdf
et notamment la page 7 qui explique pourquoi une protection basée sur
l'adresse IP est très insuffisante...

> XPOST + fup après fr.comp.lang.php avec pondération.

ça se saurait si tous les modérateurs étaient pondérés :-)

eça
--
P'tit Marcel
stats sur les forums modérés http://www.centrale-lyon.org/ng/

21/08/2007, 18h29	#2
P'tit Marcel Messages: n/a Hébergeur:	Re: [FRENCH] Blocage des visiteurs non autoriser par IP/HOSTNAME Salut, > DEFFiCE wrote: >> Et pour ne pas laisser la sécurité à la légère, on n'est jamais assez >> protéger des attaques internet j'aimerais que cette restriction ce >> face sur base de l'ip/hostname des visiteurs. Bof, pas très fiable car dans l'univers internet, la plupart des IP sont allouées dynamiquement. A contrario, cette restriction bloquerait un utilisateur légitime qui se connecterait d'un lieu imprévu... >> C'est-à-dire que j'aimerais stocker dans ma base de donner des >> hostnames et ip des personnes autoriser d'accès. >> Par exemple avoir dans ma table pour >> amarseille-251-1-13-243.w83-113.abo.wanadoo.fr (83.13.1.251) la valeur >> en table amarseille-%.w83-113.abo.wanadoo.fr ou 83.13.%.% etc. afin de >> géré les IP dynamique. Ne crois pas que les IP dynamiques sont forcément données dans des tranches proches ! >> Et à partir de sa si le visiteur qui ce présente à une ip ou un host >> qui correspond a aucune entrer en base lui afficher une erreur 404. Et >> tout sa en prenant en compte que les IPs et hosts mise en base sont >> avec un caractère joker ( % ). >> >> Partant de cette idéologie, je pense que la procédure a faire est de >> prendre IP et HOST du visiteur avec : >> $ip = $_SERVER["REMOTE_ADDR"]; Attention, ne procure aucune sécurité dans le cas où le visiteur se connecte à travers un proxy, confère la FAQ de ce forum : http://faqfclphp.free.fr/#rub7.5 >> comme les IP/HOST on des >> caractères joker % comment procédé a un LIKE SQL à sens inverse ? Est- >> il possible de faire sa ? Je ne pense pas... et vous ? >> >> Alors si je réfléchis un peut plus je me demande si avec des >> expressions régulier il n'aurait pas moyen ? sa sait pas si conpliquer : Si la base de données est MySql, les instructions : $IP = '^83\\.13\\.[0-9]{1,3}\\.[0-9]{1,3}$'; $sql = "select IP from latable where IP regexp '$ip'"; renverront les IP commençant par 83.13. > Sa me semble compliquer et très farfelue ... donnez moi votre avis, > votre aide, votre expérience... Je te conseille le doc de Maître John : http://www.saphirtech.com/securite_web_dynamique.pdf et notamment la page 7 qui explique pourquoi une protection basée sur l'adresse IP est très insuffisante... > XPOST + fup après fr.comp.lang.php avec pondération. ça se saurait si tous les modérateurs étaient pondérés :-) eça -- P'tit Marcel stats sur les forums modérés http://www.centrale-lyon.org/ng/