Quelques questions de sécurité

L'auteur de ce sujet a trouvé une solution à son problème.
Auteur du sujet

Bonjour/bonsoir,

je me posais quelques questions sur la sécurité du projet que je comptais faire. Je pensais à avoir un domaine (api.domaine.xy, par exemple). Ensuite depuis un autre domaine y faire des requêtes pour une connexion par exemple.

Je pensais à faire un système de clé, donc on envoie la requête sur le serveur avec la clé en paramètre, et si la clé correspond, on donne un résultat. (JSON ?)

Mais voilà, je me demandais si je faisais une requête ajax avec jquery, je serais obliger de mettre la clé dans le script, par conséquent elle serait visible par tout le monde ?

Et je ferais également des WebQuery avec excel, la je sais bien que je mettrai la clé dans le fichier excel, mais celui la sera privé.

Donc que pensez-vous d'un système comme ceci avec des clés ? Est-ce que ça peut fonctionner, est-ce sécurisé ?

Car jusqu'à maintenant, j'utilisais les cookies partagé avec les sous-domaines, mais si je veux obtenir les données depuis un autre site ou depuis Excel, je suis un peu plus embêté. En vous remerciant, WinXaito.

Édité par WinXaito

+0 -0
Staff

Cette réponse a aidé l'auteur du sujet

Mais voilà, je me demandais si je faisais une requête ajax avec jquery, je serais obliger de mettre la clé dans le script, par conséquent elle serait visible par tout le monde ?

Oui, la question est de savoir si c'est un problème. Note qu'il ne faut pas se faire d'illusions, même dans excel la clé sera accessible. Même si tu recodais une application, elle le serait. C'est d'autant plus vrai qu'il suffit ici de sniffer les paquets réseaux pour voir la clé dans la requete.

A partir du moment que tu exploite une API sur la machine du client, il faut être conscient qu'un utilisateur pourra reproduire le fonctionnement de ton application pour se faire passer pour elle.

La grande question est donc de savoir si c'est un problème, ou non.

Ce serait peut être mieux si tu nous disais quel est le but réel de tes applis.

+0 -0
Auteur du sujet

En faites, je n'avais pas vu mon problème sous cette angles. Je pensais à une clé générale, mais au final il est vrai que ce n'est pas du tout sécurisé.

Je vais faire une clé privé par utilisateur, au final comme l'équivalent d'un cookie qui garde la connexion.

Juste une question, est-ce sur ce principe que fonctionne les applications tels que SnapChat ou encore Instagram ? Puisqu'il existe des applications "Non-officiel" fonctionnant tout de même ?

+0 -0
Vous devez être connecté pour pouvoir poster un message.
Connexion

Pas encore inscrit ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte