Forums Développement Multimédia

Aller au contenu

Sécuriser une connexion distante AIR/Ajax -> PHP/mySQL

CODE Ajax JQuery EaseJs

10 réponses à ce sujet

#1 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 09 December 2007 - 09:57 AM

Bonjour à tous smile.gif

Je vais passer un bout de temps prêt de chez vous alors préparez vous wink.gif

Bon d'après mes premiers test, c'est assez sympathique tout ça, cependant j'ai du mal à cerner la chose au niveau de l'agencement des données lors de la création de l'application.

Imaginons que je ne parte pour le moment que sur de la techno html / ajax.

Prenons un cas tout bête de récupérations de données distantes sur une base de données mySQL.
J'y parviens rapidement en exécutant une page php non-sécurisée via xmlHttpRequest.

Cependant comment pourrais-je rendre ça optimal :
    - Si je m'identifie par login / pass, il vont passer en clair en http ? non ? oui ? une idée ?
    - Connexion via un identifiant unique : l'application elle même comme à la e-commerce et paiment en ligne (clé renvoyée après authentification) ?
    - Le code interne est toujours en clair après installation sur l'OS donc chemin d'accès au données distantes (http://www.mondomain.../moncodephp.php) non-sécurisé ?
    - Est-ce que je m'y prend pas du tout de la bonne manière ? icon_mrgreen.gif
Voilou, des questions de novices sûrement qui m'aideront bien à avancer.

Merci le rouges

#2 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 09 December 2007 - 12:57 PM

En feuilletant la doc, je me suis attaqué à air.URLRequest

Seulement j'ai un peu de mal à voir comment encore sécuriser l'accès à la page via un identifiant unique ou un cryptage...

#3 jeanphilippe

    Grosso modo

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 30486 messages

Posté 09 December 2007 - 13:03 PM

impossible en AIR icon_sad.gif
l'url sera toujours visible dans le package

#4 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 09 December 2007 - 13:07 PM

Ok déjà une première réponse qui me parle smile.gif merci Jeanphi

Ensuite peut-être que pour contourner cela, il est possible que sur cette page php appelée, on puisse vérifier un identifiant unique de l'apli AIR pour la sécuriser ? qu'en penses-tu ?

#5 jeanphilippe

    Grosso modo

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 30486 messages

Posté 09 December 2007 - 19:17 PM

oui tout a fait
ça me semble la bonne solution smile.gif

#6 jeanphilippe

    Grosso modo

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 30486 messages

Posté 09 December 2007 - 19:18 PM

sinon encore, il existe une classe de cryptage en AIR

#7 niko

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 3995 messages

Posté 09 December 2007 - 19:21 PM

l'identifiant unique j'y crois pas trop, le mec sniffe les paquets et en 2 secondes il t as cassé ta vérification ..

#8 daemon

  • Members
  • PipPipPipPipPipPipPipPip
  • 1764 messages

Posté 10 December 2007 - 02:50 AM

Sauf si côté serveur elle est lié à une adresse IP. icon_biggrin.gif


#9 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 10 December 2007 - 09:29 AM

Citation (jeanphilippe @ Dec 9 2007, 07:18 PM) Voir le message
sinon encore, il existe une classe de cryptage en AIR


Ah okok tu as un petit lien ? icon_mrgreen.gif

Citation (Niko @ Dec 9 2007, 07:21 PM) Voir le message
l'identifiant unique j'y crois pas trop, le mec sniffe les paquets et en 2 secondes il t as cassé ta vérification ..


Oui j'y pensais aussi ...
Après as-tu une solution pour sécuriser des connexions distantes pour execution d'un fichier php ?
J'avais aussi trouvé la soltuion du header 'Authorization' plus htaccess mais bon pareil, le mot de passe envoyé peut être intercepté ...

Citation (seal3 @ Dec 10 2007, 02:50 AM) Voir le message
Sauf si côté serveur elle est lié à une adresse IP. icon_biggrin.gif


Oui j'y ai pensé avec l'adresse mac encore plus poussé icon_mrgreen.gif mais est-il possible de récupérer tout ça en AIR ?


Ca fait beaucoup de question hein smile.gif mais je trouve que ce côté html/ajax côté air n'est pas encore assez développé comparé au developpement flex/flash donc ça vaut le coup de s'y pencher smile.gif


#10 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 10 December 2007 - 12:50 PM

La chose est d'autant plus compliqué que même si l'on trouve un cryptage correct, les fichiers sources sont toujours en clair après installation ... dilemne!

#11 Matthieu!

  • Honoris
  • PipPipPipPipPipPipPipPip
  • 4003 messages

Posté 10 December 2007 - 17:09 PM

Je pense que dans l'état il est trop risqué de permettre des actions d'édition/modification à distance.

Du coup une autre piste consultation/synchronisation sans accès AIR->bdd risquées en direct :
- Mise à jour d'un fichier via une tâche CRON des dernières infos BDD
- Accès AIR avec clé unique (api, ip, mac...) sur simple fichier php pour lecture du txt généré par le CRON
- Au pire, si la clé siffée, simple accès en consultation


J'espère trouver d'autres pistes et que ces possibilités vont se développer smile.gif
N'hésitez pas à réagir sur le sujet !



1 utilisateur(s) li(sen)t ce sujet

0 membre(s), 1 invité(s), 0 utilisateur(s) anonyme(s)