file_get_contents + login-password

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par toto2525, 13 Juin 2008.

  1. toto2525
    toto2525 WRInaute occasionnel
    Inscrit:
    20 Septembre 2007
    Messages:
    342
    J'aime reçus:
    0
    Salut à tous,

    Une petite question de sécurité :

    J'ai un script php qui va chercher sur un autre site des informations, l'url vers laquelle je me connecte est du style http://mon_login:mon_password@www.le-si ... -page.html et j'utilise la fonction php file_get_contents afin de récupérer les infos que je souhaite.

    Tout ceci est transparent pour l'internaute, il ne sait pas qu'on se connecte sur http://mon_login:mon_password@www.le-si ... -page.html mais je me posais la question de savoir si quelqu'un (de plus ou moins malveillant) ne pouvait pas récupérer mon login et mon password qui est présent (en clair) dans l'url http://mon_login:mon_password@www.le-si ... -page.html afin de se connecter après sur ce site avec mes identifiants de connection ?

    Qu'en pensez-vous ?
     
  2. seebz
    seebz WRInaute impliqué
    Inscrit:
    15 Avril 2007
    Messages:
    722
    J'aime reçus:
    0
    c'est ton serveur qui se connecte à l'autre serveur et pas le visiteur de ton site.

    la ou il pourrait y avoir un risque, c'est si il y a un sniffer réseau entre ton serveur et l'autre.
     
  3. toto2525
    toto2525 WRInaute occasionnel
    Inscrit:
    20 Septembre 2007
    Messages:
    342
    J'aime reçus:
    0
    Merci seebz,

    Est-ce que ça te parait donc "securit" comme procédé ?

    Qui pourrait mettre un sniffer entre les 2 serveurs ? Un hacker peut-il faire cela ?
     
  4. skippyzrnr
    skippyzrnr WRInaute impliqué
    Inscrit:
    11 Janvier 2005
    Messages:
    518
    J'aime reçus:
    0
    mais est-ce transparent niveau referer? car un hit malencontreux dans le fichier chargé peut aller stocker une ligne qui tue sur un log apache... tu devrais vérifier ca aussi. ;)
     
  5. toto2525
    toto2525 WRInaute occasionnel
    Inscrit:
    20 Septembre 2007
    Messages:
    342
    J'aime reçus:
    0
    Est-ce que tu peux développer un peu skippyzrnr car j'ai pas tout pigé ?
     
  6. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 646
    J'aime reçus:
    1
    il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url
     
  7. skippyzrnr
    skippyzrnr WRInaute impliqué
    Inscrit:
    11 Janvier 2005
    Messages:
    518
    J'aime reçus:
    0
    imagine dans le fichier que tu charges il y a une image hotlinkée sur serveur X
    la page A aspire la page B pour l'afficher
    si par accident la page B est loadée dans un navigateur l'image va etre affichée depuis le serveur X.
    le serveur X aura dans ses logs un hit pour cette image depuis l'url B (avec peut-etre login et mot de passe)

    desolé j'ai un peu de mal a m'expliquer...
     
  8. skippyzrnr
    skippyzrnr WRInaute impliqué
    Inscrit:
    11 Janvier 2005
    Messages:
    518
    J'aime reçus:
    0
    +1
    exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité
     
  9. toto2525
    toto2525 WRInaute occasionnel
    Inscrit:
    20 Septembre 2007
    Messages:
    342
    J'aime reçus:
    0
    Je teste que la connection avec la page dont je souhaite récupérer les infos soit bonne et opérationnelle, de ce fait est-ce malgré ce test la fonction file_get_contents peut rencontrer un problème et afficher l'url ?

    Quand tu dis skippyzrnr :
    Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
    Code:
    $url_fp = @file_get_contents($url_page);
    C'est quoi une image hotlinkée ?
     
  10. webmasterlamogere
    webmasterlamogere WRInaute passionné
    Inscrit:
    17 Décembre 2006
    Messages:
    1 646
    J'aime reçus:
    1
    c'est la meilleur solution puisque le préfixe @ supprime l'affichage d'une message d'erreur.
     
  11. skippyzrnr
    skippyzrnr WRInaute impliqué
    Inscrit:
    11 Janvier 2005
    Messages:
    518
    J'aime reçus:
    0
    je parle bien de ce @

    une image hotlinkée c'est une image qui n'ai pas sur ton serveur :
    [​IMG] par exemple ;)
     
  12. toto2525
    toto2525 WRInaute occasionnel
    Inscrit:
    20 Septembre 2007
    Messages:
    342
    J'aime reçus:
    0
    Merci pour vos réponses, si j'ai bien compris le risque de voir apparaitre l'url avec mes indentifiants existe mais il est minime.

    J'ai une autre question :

    Je voudrais coder une partie de l'url ou apparait mes identifiants (login et password), je fais cela déjà pour mes emails, voici la fonction que j'utilise :
    Code:
    function email_encode($string)
         {
         $ret_string="";
         $len=strlen($string);
         for($x=0;$x<$len;$x++)
              {
              $ord=ord(substr($string,$x,1));
              $ret_string.="&#$ord;";
              }
         return $ret_string;
         }
    
    J'ai essayé d'encoder dans l'url mes identifiants mais ça ne marche plus !
    Code:
    http://".email_encode("$login_et_password")."www.le-site.com/la-page.html
    Y a plus de connection possible.

    Quelqu'un voit-il pourquoi ?
     
  13. bozoleclown
    bozoleclown WRInaute impliqué
    Inscrit:
    24 Novembre 2005
    Messages:
    693
    J'aime reçus:
    0
    il s'agit d'une authentification httpbasic

    donc non ca ne pourra pas apparaitre dans le referer
    par contre l'http-basic c'est décodable donc oui si quelqu'un sniff le réseau il peut avoir ton password mais bon on va dire que le risque est minime
     
Chargement...
Similar Threads - file_get_contents login password Forum Date
probléme file_get_contents Développement d'un site Web ou d'une appli mobile 4 Octobre 2019
[PHP] file_get_contents retourne un "Connection timed out" Développement d'un site Web ou d'une appli mobile 14 Février 2014
file_get_contents sur backling Administration d'un site Web 29 Juillet 2012
[PHP] file_get_contents sur le serveur même... Développement d'un site Web ou d'une appli mobile 9 Juillet 2012
File_get_contents et paramètres dans l'url Développement d'un site Web ou d'une appli mobile 25 Février 2012
File_get_contents timeout Développement d'un site Web ou d'une appli mobile 27 Avril 2010
Récupérer contenu de la page google par file_get_contents Développement d'un site Web ou d'une appli mobile 23 Avril 2010
Méthode file_get_contents php - Problème de géocoding yahoo Développement d'un site Web ou d'une appli mobile 26 Novembre 2009
Warning: file_get_contents Développement d'un site Web ou d'une appli mobile 13 Janvier 2009
HTTP Call Method en ajax ou file_get_contents Développement d'un site Web ou d'une appli mobile 14 Novembre 2008
Requêtes file_get_contents bloquées par Google Développement d'un site Web ou d'une appli mobile 11 Avril 2008
file_get_contents(), envoie mail() avec pièce jointe php Développement d'un site Web ou d'une appli mobile 21 Juin 2007
file_get_contents et Free Développement d'un site Web ou d'une appli mobile 11 Mai 2006
File_get_contents + UTF-8 + CR/LF Développement d'un site Web ou d'une appli mobile 7 Mai 2006
Page de Login et fichier Robots.Txt Débuter en référencement 11 Septembre 2022
Comment exclure le trafic provenant des social logins Google Analytics 25 Mars 2019
Référencer un site avec login / inscription Débuter en référencement 31 Janvier 2017
[Facebook] SDK PHP Login, Ok partout sauf sur Chrome Développement d'un site Web ou d'une appli mobile 16 Décembre 2015
Accès refusé : erreur 403 wp-login.php Google Analytics 11 Juin 2013
Page fan facebook: login et mot de passe perdu Facebook 18 Septembre 2012