olivierPa

Ok, mais je n'aime pas trop utiliser des librairies toutes faites du type Jquery. Cela defini tout un tas de fonctions et au final, on en utilise pas le quart de la moitie. Donc, je ne souhaite pas charger Jquery uniquement pour faire un truc aussi simple. De toute facon, tout ce qu'on peut faire avec Jquery, on peut le faire directement... c'est juste un outil cense simplifier la vie. Je peux egalement opter pour la solution consistant a creer mes noeuds form et input dans le script (du coup tout est bien decouple comme je le desire), mais c'est tout de meme tres moche ! En fait, ce qu'il me faudrait c'est creer un objet du genre XMLHttpRequest et qu'il me renvoie directement le resultat dans la fenetre du navigateur. Ca doit pouvoir se faire simplement non ?

Bon, j'ai finalement opte pour la methode suivante: <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <head> <script> function go(){ tosend+=" <test><nom> toto </nom></test>"; document.getElementById("sended").value=tosend; document.getElementById("test").submit(); } function initialisation(){ document.getElementById("toclick").onclick=go; } window.onload=initialisation; </script type="text/javascript" > </head> <form id="test" action="test.php" method="post"> <input id="sended" type="hidden" name="sended"/> </form> <body> <div id="toclick"> clic here </div> </body> Cote php, <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN" "http://www.w3.org/TR/html4/strict.dtd"> <html> <body> <?php $parametres=$_REQUEST["sended"]; $objetSimpleXML=simplexml_load_string($parametres); $nom=$objetSimpleXML->nom; echo("nom=".$nom); ?> </body> </html> Bon, je trouve pas ca genial, car je suis oblige de passer par une balise form incluse dans le code html et un champ input cache (alors que j'aime bien separer completement la gestion du comportement dans le script, et le contenu dans le html). Si vous avez une suggestion plus elegante, ca m'interesse. olivier.

Bonjour a tous, Est-il possible en javascript de faire une redirection avec requete xml ? pour etre plus precis, j'ai une page cible.php qui peut recuperer une requete xml envoiyee par la methode post Dans mon javascript, je cree ma requete xml que j'aimerai envoyer a cible.php afin que le resultat final s'affiche dans la fenetre du navigateur. C'est surement possible, mais comment ? Olivier.

Impossible de repondre, c'est bcp trop vague comme question. Pour repondre en bref tout de meme: Il existe a ma connaissance 3 ou 4 possiblites (je n'ai teste aucune de ses solutions, mais j'ai effectue pas mal de recherches pour un projet que j'ai en tete): 1/ paypal ou equivalent (tres facile a installer, plutot pour de petits volumes de transaction) 2/ contrat VAD + TPEV propose par une banque 3/ contrat VAD aupres d'une banque + TPEV aupres d'un tiers 4/ contrat VAD + TPE physique (pour les commercants) VAD= Vente A Distance TPE= Terminal de Paiement Electronique (la machine a CB des commercants) TPEV = TPE virtuel (meme fonction que le TPE physique, sauf que tout ce fait sur le web) les possiblites 2 ou 3 sont plus ou moins equivalentes d'un point de vu financier. Pour le cout, il y a trois volets: installation + commission fixe + pourcentage (attention pour la solution 3, la banque et le tiers prennent des pourcentages sur les transcations). Pour le point 4, c'est delicat a mettre en place, car vous allez devoir recuperer vous meme les numero de CB de vos clients et les stocker (au moins temporairement) de facon securisee. Cela implique notamment d'acheter un certificat (mais c'est pas cher :7 euros par mois environ)... bon, c'est tout de meme une certaine responsabilite (Il y a peut-etre des boites qui proposent de prendre ca en charge... je ne sais pas trop). Il existe pas mal de comparatifs que le web (notamment sur ce forum il me semble) qui donnent une bonne idee de l'ordre de grandeur du cout. Ceci dit, ce n'est qu'une approximation: chaque contrat se negocie avec son banquier. De plus, certaines formules permettent les abonnements, le paiement en plusieurs tranches, etc ... Bon courage pour votre recherche, Olivier.

Heu.. c'est etrange. Si tu ne changes pas les attribus hight et width de ton bloc, il n'a aucune raison de changer de taille non ? Il ne faut pas recreer ton bloc: il faut juste le deplacer ! Il y a plein d'exemple de drag/drop sur le web, tu devrais trouver ton bonheur je pense... Sinon, envoie ton script, sinon presonne ne pourra te repondre. olivier.

Bonsoir Kloob, C'est pile-poil le genre de truc que je cherche (faire comme Google). Une identification sure, puis une communication en clair en s'assurant tout de fois contre le vol de session. Je me doutais que google utilisait une methode de ce genre. Merci pour les infos, je vais courrir a la peche aux infos sur la protection des sessions (je viens carrement de faire l'acquisition d'un bouquin sur la securite sur le web, bcp trop complet pour ce que je vais faire au final, mais bon, ca fait pas de mal d'apprendre des trucs). J'ai d'ailleurs decouvert sur ce bouquin que Mastercard s'etait vole plusieurs millions de numeros de cartes en 2005 a cause d'une faille de securite ! C'est assez dingue tout de meme.

Bon, pour le site a fort trafic en question, il n'existe pas encore. Si ca se trouve, il n'aura aucun membre ! Mais je prefere me pencher maintenant sur les problemes potentiels avant d'avoir a les resoudre par la suite. Pour l'identification, tu dis qu'il est totalement superflus de faire un chiffrement quelconque... Cela me semble un peu etrange: a priori, on peut intercepter tes paquets non chiffres transitant sur le web et ainsi recuperer login et pwd s'ils ne sont pas cryptés. Je ne suis pas certain qu'une identification par session soit tres sure d'apres ce que j'ai pu lire de ci de la (je suis novice en la matiere, c'est la premiere fois que je m'interesse a des questions de securite). Ce qui m'importe c'est juste de ne pas autoriser n'importe qui a ecrire dans les donnees associees a un membre (par contre, elles peuvent etre lues par n'importe qui). Je prefere etre prudent: je ne m'attends pas a subir une attaque quelconque, mais si cela arrivait, je serais vraiment dans la M... donc utiliser un tuc bien costaud pour l'identiification avec https (meme si c'est pas gratuit, c'est un investissement qui me semble minime pour la securite que cela apporte). En tout cas merci pour tes suggestions. Je vais reflechir a tout ca.

Bon, j'ai compris, tu es pour le tout https. OK, si on lache 150 euros par moi, on peut louer une bete de course qui plantera jamais. Mais pourquoi chercher a faire souffrir un serveur pour rien ? Encore une fois, les donner des membres sont publics ! Seuls les droits de modifications de ces donnees sont a proteger. Si je peux obtenir ce que je veux pour moins cher et plus performant qu'une option tout https, je ne vois vraiment pas de raison de me priver.... olivier.

Bonjour Patrick, Si je veux utiliser http plutot que https une fois l'identification effectuee c'est pour ecnomiser des ressources cote client et surtout serveur: Le https implique le cryptage de toutes les donnees echangee entre le client et le serveur.... et cela concomme du temps cpu. Du coup, cela peut avoir une influence sur la fluidie de la navigation et si j'ai bcp de connections simultannees sur mon serveur, il pourrait se retrouver surcharger. Comme les donnees que je transmets sont public, je n'ai absolument aucune raison de les crypter. Par contre je veux m'assurer de l'identite de l'utilisateur (identifie par son login et password. Je suppose evidemment que l'utilisateur ne va pas laisser trainer son login et password sur un post it sur son clavier, et sinon, tant pis pour ses pieds, de toute facon c'est pas le site de la banque de france que je veux monter non plus). Donc je nev eux pas transmettre le pwd du client en clair sur le reseau - je veux qu'il puisse ecrire sur la base de donnees (selon ses droits) sans qu'il ait a taper son login+pwd a chaque fois, d' ou l'idee de proceder comme decrit dans mon premier post. voila... Sinon je suis d'accord avec toi, tout faire en https est a priori le plus sur (un peu trop meme ). Olivier.

Bonjour a tous, Je cherche a monter un site web securise. Il doit etre accessible a certains membres. Les membres identifies doivent pouvoir effectuer certaines manipulations (lecture/ecritue) sur une base de donnees. Je veux minimiser les requetes a la base mysql pour que cela soit assez rapide et utiliser le + possible javascript pour la partie dynamique. Je voudrais donc faire la chose suivante: 1/ un membre se connecte a l'aide de son login/ password sur une page https 2/ il arrive sur son espace membre lui permettant de modifier les donnees le concernant. Les donnees en question ne sont pas sensibles: je me moque de savoir si qqun peut les lire. Par contre, lorsqu'une requete est envoyee pour modification des donnees sur la base mysql, je veux m'assurer que c'est bien le membre concerne qui effectue la requete. Comme les donnees ne sont pas sensibles, il me semble naturel d'utiliser le protocole http (et non https qui est plus lourd a gere a cause du codage des donnees transmises). Par contre, il m'importe que le membre soit identifie de maniere assez certaine par le serveur. Evidemment, je pourrais stocker le pwd du membre dans un cookie (j'ai egalement entendu parler de variable de session) et le transmettre au serveur a chaque requete qui verifie que le pwd correspond qu membre en question. Mais comme je ne veux plus utiliser de protocole https a ce stade, le pwd est transmis en clair du client au serveur, ce qui n'est pas terrible en terme de securite (et dans ce cas, utiliser une page https pour l'authentification est idiot). Ceci dit, il doit exister des solutions qui tiennent la route: On peut imaginer un systeme de ce type: - le membre se connecte sur une page https. Une fois identifie, il echange une cle (bon c'est ce que fait https d'ailleurs, mais la cle en question, je veux l'utiliser par la suite). On sort de la zone https pour rentrer dans une zone http. - le membre peut lire dans la base mysql, il modifie ses donnees puis envoie une requete au serveur pour sauver les modifications apportees. Afin de verifier l'identite du membre, on peut imaginer un processus de ce type: Avant chaque requete, le client fait une demande au serveur qui lui renvoie une chaine de caracteres aleatoires (appelons la x) Le client renvoie alors T(x) + les donnees necessaires pour la modification de la base de donnees. ou T(x) est le chiffrement de x a l aide de la cle commune echangee lors de la session https Le serveur recoit y + des donnees il verifie si y=T(x) (il connait la cle transmise a l'utilisateur lors de l'identification et la chaine x) si y=T(x) il modifie la base en consequence. Sinon, il ne fait rien. Je pense qu'un tel systeme serait "relativement sur" cependant, le systeme de chiffrement doit etre tel que si qqun interecepte (x,T(x)) pour un nombre relativement important de x, il ne puisse retrouver la cle. Quel algo utiliser pour le chiffrement ? Comment stocker la cle sur le navigateur du membre (cookie ? ou autre) ? Est-ce que vous avez un script (ou exemple de scirpt) qui fait ca ? Est-ce qu'il y a des outils tout pret prevus a cet effet ? Est-ce qu'il y a un autre moyen de s'assurer de l'identite d'un membre apres connection sur une page securisee https ? Desole, c'est un peu long, mais comme c'est mon premier site comportant un espace membre... et que je ne veux pas faire n'importe quoi. Olivier. PS: J'ai modifié mon message initial (dans mon precedent message, je proposais de generer la chaine x cote client ... alors qu'il faut evidemment la genere sur le serveur).

J'avais pensé à cette solution, mais c'est assez tordu et me demande d'avoir un VAD et TPE virtuel (tout ca pour ne pas les utiliser vraiment en fin de compte) ... Bon, c'est bien dommage, car cela serait tout de même très pratique. Je me demande pourquoi une telle possibilité n'est pas offerte... Encore merci pour ces infos Jacques !

Bonjour a tous, Je souhaite monter un site de reservation en ligne (comme pour les hotels par exemple). Mon role est uniquement de mettre en contact hotels et clients, je n'encaisse en general rien: c'est l'hotel qui encaisse directement aupres du client (qui est physiquement present evidemment) et l'encaissement peut d'effectuer en liquide, par cheque, par CB, enfin bref, c'est l'hotel et le client qui se debourillent. Cependant, j'aimerai assurer un minimum de garanti de sorte a ce qu'un type ne se mette pas a reserver a tour de bras des nuitees qu'il ne fera pas. Pour cela, je souhaite que - le client communique son numero de CB lors de sa reservation - Effectuer une verification basique de la validite de la CB (par exemple que le nom du porteur correspond bien au numero de CB) - Si le client ne se presente pas a l'hotel, recouvrir a l'aide du numero de CB les frais (ou une partie des frais... le prix de la premiere nuit par exemple). A priori, je pense qu'il n'y aura pas bcp de recouvrement a effectuer de ma part. J'envisageais 2 solutions pour le recouvrement: - Me munir d'un contrat VAD et un TPE virtuel. - Je pensais a un moment laisser le recouvrement (en cas de non presentation du client toujours) a l'hotel qui pourrait alors utiliser son TPE physique (mais dans ce cas, il lui faut un contrat VAD , non ? et je ne suis pas certain qu'ils en aient tous un). Si cela necessite a l'hotel un contrat VAD (comme je le presume), c'est rape pour cette solution. Reste que la premiere solution me semble un peu lourde a mettre en place (et un peu cher). De plus, en ce qui concerne la verification de la CB, les seules solutions que j'ai trouve sont: 1/ verifier la validite du numero (a l'aide d'un algo) mais rien ne m'assure que le numero existe en realite et que le porteur correspond au nom indique 2/ bloquer la somme corresondant a la reservation sans la debiter (donc il y a une verification du nom du porteur + verification de sa solvablilite + bloquage de la somme sur le compte du porteur) La premiere solution n'est pas assez sure, la deuxieme l'est trop (enfin, si c'etait gratuit, ce serait pas un probleme, mais j'ai l'impression que le cout est le meme que si on effectuait la transaction complete.... ). -> Est-il possible de verifier (pour pas trop cher) la validite de la carte et le nom du porteur ? A priori, j'aurai bcp de verifcations a effectuer (enfin j'espere). -> En cas de non presentation du client, quelles sont selon vous les meilleures solutions de recouvrement (faut-il necessairement passer par la combinaison VAD +TPE virtuel, sachant que j'aurais problement tres peu de transactions a effectuer) ? Merci d'avance pour vos reponses !!! olivier.

Bonjour a tous, Petit nouveau sur ce forum, j'espere y trouver les reponses a mes nombreuses questions... Je compte bientot lancer un site de reservation en ligne, mais bon, ca me semble assez complexe a mettre en place. Autrement, si je peux apporter un coup de main a certain d'entre vous... tant mieux ! A bientot sur ce forum, Olivier.