Salut à tous, 

Je voudrai votre avis sur la sécurité sur une page web que je développe.

Je créé un wordpress pour avoir juste un formulaire de connexion qui affiche ensuite des données sur une page, une fois connecté.

Je compte faire une simple requête get et récupéré son mot de passe qui est en clair sur un serveur web protégé et le comparer à celui qui viens d'être écrit. Le mot de passe sur le serveur est au format JSON ainsi que toutes les données qui suivront. (Oui faire un wordpress pour ça, c'est abusé, mais c'est à la demande du client).

Du coup est-ce bien sécurisé tout ça, le faite de le faire en JS? Ou dois-je plutôt traiter cette requête en php? ou autre?

Merci les coupains, la biz!

Bonjour,

Si tu fais une requête sur un serveur, j'imagine que ce n'est pas que du JS...

Dans tous les cas, si ta requête n'est pas en HTTPS ou que tu envoies le mdp en clair (et pas un hash) sur le réseau, y'a faille de sécurité tout court.

Comment ça? 

J'ai l'adresse du serveur et avec une requête ajax ça suffit à récupérer mes données. Je me trompe?

A partir du moment où une requête HTTP transite sur un réseau avec un mot de passe en clair dedans, il y a faille de sécurité. Je ne comprends pas ce que tu ne comprends pas? Tu comptes faire quoi avec cette requête ajax? Tu envoies une demande et un serveur vérifie si le mdp est bon, ou tu récupères des informations pour vérifier si le mdp est bon, coté client? Dans le second cas, c'est encore pire.

Remarquons aussi que ça ne dispensera pas d'ouvrir une session et de conserver le cookie coté client, parce que sinon moi je fais juste sauter la requête ajax et si aucune page derrière ne vérifie que je suis enregistré, j'ai accès à tout. Pire encore, si tu vérifies en ajax pour chaque page si on a le droit. Je désactive JS, tu es bloqué, ton site ne fonctionne plus, et dans tous les cas il y aura un délai très désagréable.

-
Edité par Genroa 13 août 2018 à 15:38:37

Je pense voir à peu près ce que tu veux faire, mais en fait l'authentification doit se faire côté serveur, tu n'as pas besoin de récupérer en local le mdp, ce que tu récupères c'est l'autorisation ou pas.

Le faire en Ajax, c'est un peu bizarre, ça n'a pas vraiment d'intérêt de toute façon,.

Oui, le client entre ses identifiants de connexion et une autre page s'affiche avec des données diverses. 

Et effectivement, en js c'est pas sécure du tout en faite. Du coup je vais me diriger vers une requête côté serveur.

Mais...une requête c'est forcément adressé au serveur? Je ne suis pas sûr de comprendre.