Wed, 08 Feb 2012 01:20:48 +0100 http://godefroy.me fr http://www.eklablog.com http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-2349923
Tu peux bien sûr le mettre dans un nouveau fichier et l'inclure avec include ou require.]]> Fri, 28 May 2010 01:02:31 +0200 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-2349923 Godefroy 2010-05-28T01:02:31+02:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-2339405 Je trouve en effet qu'on ne parle pas asser de ce genre de protection qui semble vraiment essentiel !

Une question :
[quote]
Pour le Referer, il suffit au contraire de placer les 3 lignes de codes que je donne dans le fichier de configuration du site, et elles s'appliqueront sans problème à l'intégralité des pages.
[/quote]

Ca m'interesse, qu'entends tu par fichier de configuration du site ?
tu crée une page php avec ce code (et d'autres types de protections je suppose) et ensuite tu fais un include au debut de chacunes de tes pages php ?

Merci, a tres bientot et bonne continuation.]]> Tue, 25 May 2010 03:51:39 +0200 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-2339405 dimebagplan 2010-05-25T03:51:39+02:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-707235
Tout comme 512banque (salut à toi ) et bien je me suis pris
 les alertes JS dans la tronche donc désactiver le truc pour poster mon petit commentaire.
]]> Fri, 22 May 2009 08:25:01 +0200 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-707235 lemoussel 2009-05-22T08:25:01+02:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-421584 Fri, 16 Jan 2009 17:59:01 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-421584 Godefroy 2009-01-16T17:59:01+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-421178 Fri, 16 Jan 2009 01:21:12 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-421178 divarvel 2009-01-16T01:21:12+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420687 Thu, 15 Jan 2009 17:22:32 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420687 yesnet 2009-01-15T17:22:32+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420665 Si tu as une sécurité côté serveur à proposer, je t'écoute
Même avec un token, il suffit que le pirate récupère la clé token juste avant de rediriger le visiteur vers la page avec le token en argument...]]> Thu, 15 Jan 2009 16:46:03 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420665 Godefroy 2009-01-15T16:46:03+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420545
D'une façon générale, je suis contre exiger des réglages côté machine client. Il vaut mieux utiliser les fonctions côté serveur,c'est plus fiable car une seule source et les visiteurs restent libre de leur navigateur. C'est au serveur d'être l'unique référant, on ne doit rien imposer à la machine client.
Si un super navigateur ultra protégé contre les données personnelles voit le jour, ou un navigateur minimaliste n'incluant par le referer, le formulaire ne marche plus.]]> Thu, 15 Jan 2009 13:39:47 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420545 yesnet 2009-01-15T13:39:47+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420362 Pour le navigateur novice, c'est vrai que ça peut arriver, mais c'est extrêmement rare. Pour preuve, j'ai effectué un log sur les 15 derniers jours de toutes les requêtes bloquées par cette technique sur EklaBlog (10 à 15 000 VU/jour), et ça donne :
- 27 spams bloqués :
- 2 utilisateurs initiés bloqué (512banque qui a commenté plus haut, et un membre d'EklaBlog que je connais)
- divarvel qui a eu un referer qui a merdé apparemment à cause de Iceweasel. Il faudra que je gère ce cas.
- 4 requêtes faites sous IE7 qui apparemment a aussi mal géré le referer.]]> Thu, 15 Jan 2009 00:33:27 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420362 Godefroy 2009-01-15T00:33:27+01:00 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420337 - le referer est majoritairement utilisé pour tracer les visteurs (stats)
- si l'internaute novice utilise un navigateur mal configuré, il ne pourra pas envoyer ledit formulaire. Et avant de savoir re-activer le referer, woualou
- enfin et surtout, il devient impossible de bookmarker la page...
Oui la sécurité est essentielle, mais d'autres moyens existent.]]> Wed, 14 Jan 2009 21:58:00 +0100 http://godefroy.me/securite-php-toujours-verifier-le-referer-lors-d-un-envoi-par-post-a313986#comment-420337 yesnet 2009-01-14T21:58:00+01:00