Cas pratique de sécurisation SSL

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par yann214, 4 Mai 2012.

  1. yann214
    yann214 WRInaute occasionnel
    Inscrit:
    17 Novembre 2005
    Messages:
    371
    J'aime reçus:
    0
    Imaginons une boutique en ligne sur laquelle les utilisateurs peuvent se connecter et créditer un compte client via un formulaire de banque sécurisé (dont nous ne occuperons pas ici).

    Ces clients peuvent ensuite utiliser leur compte pour acheter des produits.

    Afin de sécuriser ces comptes clients, il convient de mettre en place des systèmes qui feront en sorte que personne ne viendra les "pirater".

    Quelles seraient selon vous les bonnes pratiques à mettre en oeuvre.

    Je pense que la sécurisation de la phase de login via SSL est impérative.
    Mais comment protéger ensuite le client contre le vol de cookie/session et s'assurer que personne ne viendra utiliser leur crédit pour acheter des produits ?
     
  2. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
    Avec un mot de passe complétaire demandé à chaque achat et qu'il ne sera pas possible d'enregistrer en mémoire dans son navigateur ?
    Avec envoi d'un code unique par e-mail ou SMS pour chaque achat ?
     
  3. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 190
    J'aime reçus:
    1
    S'assurer que pour une session donnée, les produits achetés ne puissent être livré qu'a l'adresse du propriétaire réel du compte.
    Bref faire en sorte que le détournement de session ne puisse pas profiter a un autre utilisateur.
    ça reviens a attacher le numéro de session a un compte utilisateur et a obliger une validation par mail (mail, qui ne peut être changé) pour toute modification du compte utilisateur (pour parer au changement d'adresse par exemple).
    ça évite de se prendre la tête avec la sécurité en rendant la démarche stérile.
     
  4. Axiso
    Axiso WRInaute passionné
    Inscrit:
    8 Avril 2004
    Messages:
    1 209
    J'aime reçus:
    0
    Toutefois, vu que la boutique en question intègre un crédit à y dépenser, le vilain pirate terroriste pourra encore générer des commandes par plaisanterie et les faire expédier chez le client. Dans ce cas Yann214 risque de livrer des achats qui seront ensuite annulés.
     
  5. zeb
    zeb WRInaute accro
    Inscrit:
    5 Décembre 2004
    Messages:
    12 190
    J'aime reçus:
    1
    Certes, mais t'en connais beaucoup qui travaillent pour rien ? Ensuite si la commande demande une validation mail par exemple le problème tombe.
    Se qu'il faut penser, quelque soit la solution adoptée, c'est qu'un protocole bien pensé est souvent plus fiable qu'une réponse technologique "bricolée" (avis perso).
    J'ajoute que pour avoir vu des dizaines de "solution sécurité" dev par des gens différents, je suis toujours amusé de voir le nombre de failles introduites pour en sécuriser une.
     
  6. yann214
    yann214 WRInaute occasionnel
    Inscrit:
    17 Novembre 2005
    Messages:
    371
    J'aime reçus:
    0
    L'idée de la confirmation par mail est plutôt intéressante ;)
    D'autant qu'il s'agit de produits dématérialisés.

    Et on peut imaginer qu'un changement de mail soit possible avec une confirmation par l'ancien mail également.

    Ca n’empêche pas le vol de session, mais ça sécurise les paiements.

    J'ai cru lire qu'il y avait la possibilité de crypter uniquement les cookies ? et pas les pages entières.
    Quelqu'un a des infos à ce sujet ?
     
Chargement...
Similar Threads - pratique sécurisation SSL Forum Date
URL rewriting et REGEX bonnes pratiques Développement d'un site Web ou d'une appli mobile 9 Septembre 2020
Bonnes pratiques et évaluation coût CPC AdWords 2 Avril 2020
Frame - Les bonnes pratiques ? Développement d'un site Web ou d'une appli mobile 17 Janvier 2020
Solution pratique pour avoir des backlinks. Netlinking, backlinks, liens et redirections 15 Décembre 2019
Favicon : bonnes pratiques Développement d'un site Web ou d'une appli mobile 12 Décembre 2019
la bonne pratique quand on enlève une gamme de produits e-commerce 8 Novembre 2019
Quid des règles de bonnes pratiques SEO pour l'administration d'un forum Référencement Google 10 Août 2019
Quelle est la bonne pratique pour indiquer une ou plusieurs localisations à Google ? YouTube, Google Images et Google Maps 4 Avril 2019
Les bonnes pratiques du fil d'Ariane Référencement Google 4 Mars 2019
Cas pratique d'une chute vertigineuse d'un site. Référencement Google 19 Octobre 2018