file_get_contents + login-password

WRInaute occasionnel
Salut à tous,

Une petite question de sécurité :

J'ai un script php qui va chercher sur un autre site des informations, l'url vers laquelle je me connecte est du style http://mon_login:mon_password@www.le-si ... -page.html et j'utilise la fonction php file_get_contents afin de récupérer les infos que je souhaite.

Tout ceci est transparent pour l'internaute, il ne sait pas qu'on se connecte sur http://mon_login:mon_password@www.le-si ... -page.html mais je me posais la question de savoir si quelqu'un (de plus ou moins malveillant) ne pouvait pas récupérer mon login et mon password qui est présent (en clair) dans l'url http://mon_login:mon_password@www.le-si ... -page.html afin de se connecter après sur ce site avec mes identifiants de connection ?

Qu'en pensez-vous ?
 
WRInaute impliqué
c'est ton serveur qui se connecte à l'autre serveur et pas le visiteur de ton site.

la ou il pourrait y avoir un risque, c'est si il y a un sniffer réseau entre ton serveur et l'autre.
 
WRInaute occasionnel
Merci seebz,

Est-ce que ça te parait donc "securit" comme procédé ?

Qui pourrait mettre un sniffer entre les 2 serveurs ? Un hacker peut-il faire cela ?
 
WRInaute impliqué
mais est-ce transparent niveau referer? car un hit malencontreux dans le fichier chargé peut aller stocker une ligne qui tue sur un log apache... tu devrais vérifier ca aussi. ;)
 
WRInaute impliqué
imagine dans le fichier que tu charges il y a une image hotlinkée sur serveur X
la page A aspire la page B pour l'afficher
si par accident la page B est loadée dans un navigateur l'image va etre affichée depuis le serveur X.
le serveur X aura dans ses logs un hit pour cette image depuis l'url B (avec peut-etre login et mot de passe)

desolé j'ai un peu de mal a m'expliquer...
 
WRInaute impliqué
webmasterlamogere a dit:
il y a peut-être un risque si un problème arrive avec le file_get_contents qu'un message d'erreur s'affiche avec l'url
+1
exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité
 
WRInaute occasionnel
Je teste que la connection avec la page dont je souhaite récupérer les infos soit bonne et opérationnelle, de ce fait est-ce malgré ce test la fonction file_get_contents peut rencontrer un problème et afficher l'url ?

Quand tu dis skippyzrnr :
exact il faut bien mettre le @ salvateur devant l'appel sinon le time-out du serveur en face peut-etre fatal pour ta sécurité

Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
Code:
$url_fp = @file_get_contents($url_page);

C'est quoi une image hotlinkée ?
 
WRInaute passionné
toto2525 a dit:
Est-ce tu parles bien du @ qui est devant la fonction file_get_contents, à savoir :
Code:
$url_fp = @file_get_contents($url_page);
c'est la meilleur solution puisque le préfixe @ supprime l'affichage d'une message d'erreur.
 
WRInaute impliqué
je parle bien de ce @

une image hotlinkée c'est une image qui n'ai pas sur ton serveur :
logo_plain.png
par exemple ;)
 
WRInaute occasionnel
Merci pour vos réponses, si j'ai bien compris le risque de voir apparaitre l'url avec mes indentifiants existe mais il est minime.

J'ai une autre question :

Je voudrais coder une partie de l'url ou apparait mes identifiants (login et password), je fais cela déjà pour mes emails, voici la fonction que j'utilise :
Code:
function email_encode($string)
     {
     $ret_string="";
     $len=strlen($string);
     for($x=0;$x<$len;$x++)
          {
          $ord=ord(substr($string,$x,1));
          $ret_string.="&#$ord;";
          }
     return $ret_string;
     }

J'ai essayé d'encoder dans l'url mes identifiants mais ça ne marche plus !
Code:
http://".email_encode("$login_et_password")."www.le-site.com/la-page.html

Y a plus de connection possible.

Quelqu'un voit-il pourquoi ?
 
WRInaute impliqué
il s'agit d'une authentification httpbasic

donc non ca ne pourra pas apparaitre dans le referer
par contre l'http-basic c'est décodable donc oui si quelqu'un sniff le réseau il peut avoir ton password mais bon on va dire que le risque est minime
 
Discussions similaires
Haut