Aller au contenu

Authentification & Iframe


Rep

Sujets conseillés

Bonjour à tous,

Il s'agit de mon premier post (après celui de présentation).

Pour faire simple et rapide, je développe actuellement un site contenant de l' information qui sera reprise par d'autres sites pour les rendre plus dynamiques. Outre du texte, ces informations pourront être des tableaux, des images voire des petits scripts PHP.

Pour que ces sites tiers puissent afficher le contenu en question, je pensais recourir aux iframes. La mise en oeuvre est relativement simple du côté "client", mais je souhaite tout de même contrôler les sites qui y feront appel, histoire de ne pas surcharger le serveur de requêtes.

Le HTML des iframes sera généré de manière basique par PHP, car cela me permettra:

  • pour chaque site intéressé, de personnaliser le contenu de l'iframe (il pourra choisir la catégorie d'information, la quantité...);
  • pour moi de maîtriser leur utilisation; l'idée étant que l'exécution du code PHP générant l'HTML de l'iframe débute par un système d'authentification unique pour chaque site (basiquement basé sur une ID affectée à l'inscription).

N'ayant pas vraiment d'expérience, mes interrogations sont les suivantes:

  • est-ce que cette solution est viable, sachant que si le succès est au rendez-vous, le nombre de sites recourant à ces informations pourrait être de l'ordre de la centaine?
  • est-ce "sécurisé"?
  • est-ce que le mécanisme de contrôle vous paraît cohérent?

Bref, tout commentaire est le bienvenu.

Merci d'avance !

Lien vers le commentaire
Partager sur d’autres sites

Bonjour et bienvenue sur Webmaster-Hub,

Ta solution (ID dans l'URL pour identifier un client) me semble bonne pour afficher un contenu personnalisé. Par contre, ce n'est évidemment pas sécurisé puisque n'importe qui pourra utiliser cette ID, une fois qu'il la connaît (= dès qu'il y a eu accès via le site client autorisé correspondant).

Tout dépend jusqu'à quel point tu veux sécuriser. Tu pourrais déjà contrôler que le referrer correspond au site client autorisé (ou est masqué): cela permettrait de rendre inexploitable l'affichage par un site non autorisé. Cela n'empêcherait pas l'affichage par un robot ou par un petit malin astucieux sur son propre poste de travail, mais, d'après ta description, ceci n'est probablement pas important.

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

Merci pour cette première réponse.

Concernant l'utilisation de l'ID, je m'attendais à cette réponse. Le contrôle du referrer me paraît en revanche une bonne première approche. Toutefois, je suppose que le "petit malin" en question pourrait être un autre site récupérant les infos du mien via un site autorisé...

Il y a peu de chances que j'aie à faire face à ce genre de problème, mais je préfère être prévoyant. Aussi, j'aimerais savoir si je ne pourrais pas compléter ce contrôle par des protections complémentaires...

Merci d'avance,

Nicolas

Lien vers le commentaire
Partager sur d’autres sites

De toute façon, à partir du moment où monsieur X peut afficher une iframe sur son poste de travail, il peut en enregistrer le code source et il est donc techniquement en mesure de le placer sur son propre serveur. Cela, tu ne peux pas l'empêcher par des moyens techniques.

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

C'est évident, mais le "vol" du code source n'est pas ma priorité. L'intérêt de mon modèle étant d'offrir des informations qui sont mises à jour afin que le site les affichant paraisse dynamique, sans que quelqu'un ait à intervenir (hormis moi, par l'intermédiaire du site).

La vraie problématique est plutôt de contrôler les sites qui bénéficieraient de ce service. L'usage de l'ID unique et du referrer sont déjà une bonne première étape, mais je me demandais s'il n'existait pas des méthodes de contrôle supplémentaire pour agir dans ce sens.

Merci d'avance,

Lien vers le commentaire
Partager sur d’autres sites

Le site non autorisé qui afficherait ton iframe sera confronté au fait que 90% de ses utilisateurs (ceux qui ne masquent pas le referrer) ne verront pas l'iframe. Je suppose que personne ne va afficher ton iframe sans autorisation rien que pour les 10% d'utilisateurs qui s'amusent à masquer les referrers, d'autant plus que pour les "mauvais" referrers, tu peux afficher un truc du genre "ceci est une utilisation non autorisée d'un service proposé par Rep" dans l'iframe.

Ou peut-être que je ne comprends pas bien ce que tu veux contrôler en plus ?

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Merci, au contraire, tu as parfaitement compris ma demande.

La question au sujet des contrôles supplémentaires était plutôt un appel au détail des éventuelles vulnérabilités des iframes et aux moyens d'y faire face.

Mais, compte tenu du domaine d'activité concerné, il est vrai que j'ai peu de chances d'avoir à faire face à des contournements massifs.

Merci encore pour ton aide.

Nicolas

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...