Backoffice sécurisée en PHP [30 mn de lecture - paru le 11/5/2006 6:13:45 PM - Public : Confirmé]

Auteur

Fabien AGRANIER Elève-Ingénieur Supinfo Bourgogne Promotion SUPINFO 2008    Lui écrire    Tous les projets de cet auteur    Le mini-CV de cet auteur

Introduction

Avec l'avènement du web dynamique, des services en ligne et du Web 2.0, la majorité des sites disposent de backoffices qui sont de ce fait, de plus en plus enrichies. A destination de clients, de membres ou d'administrateurs, ces backoffices permettent de gérer des données sensibles où chaque personne a des droits qui lui sont propres sur une partie des données qui lui sont liées. Contourner ces droits revient à compromettre l'entière application, l'ensemble des données qu'elle contrôle et l'ensemble de ses utilisateurs. C'est pourquoi la sécurité et la prévision des attaques possibles est primordial dans la conception des backoffices et de leurs mécanismes d'authentification, de sessions et de gestion des actions.

Nous verrons donc dans cet article, comment mettre en place en pratique une backoffice répondant a des exigences importantes en matière de sécurité. Pour cela, nous allons concevoir pas à pas un ensemble de classes pour encapsuler les sessions PHP dans un système gérant l'ensemble de la sécurité du backoffice.

Ce système permettra d'éliminer un ensemble de menaces que sont le flood, le cookie poisoning, toutes les formes de session hijacking ainsi que les problèmes de Cross-site request forgeries.

Il est à noter que l'ensemble des codes présents dans cet articles sont conçus pour PHP5 car cette version présente de nombreux avantages surtout au point de vu objet comparé au PHP4 et que cette version est maintenant admise comme standard.

Enfin, cet article est en lien avec un précédent article sur la sécurité dont je vous recommande la lecture en vous rendant sur http://www.supinfo-projects.com/fr/2006/php_securite/