Testez mon site svp

Bonjour à tous !

Après un long apprentissage et beaucoup de boulot, j'ai enfin fini mon site !

Il est en ligne depuis un petit moment déjà et j'ai eu quelque petits réglages à faire mais tout a maintenant l'air de fonctionner correctement.

J'aimerai donc que certain d'entre vous se dévoue pour le tester et voir s'il n'y a aucun problème de sécurité.

Voici le lien https://vacafiens.fr/

D'autre part, j'ai évidement un problème de référencement : en fait si on ne le connait pas, il est impossible à trouver !

Evidement c'est un peu gênant…

Comment dois-je m'y prendre pour qu'il apparaisse dans les résultats de recherche de vacaf.org svp ?

D'avance merci pour votre aide

Salut,

Je viens de pourrir ta base de données (Page http://vacafiens.fr/Espace_pros/avis_pros.php)

et ca t'as pris deux secondes !

Si c'est pareil partout....

Sur la secu vraiment faut voir. vous n'avez pas prevvu l'overflow Ici Vous m'excusez vraiment! Puis la La

• Faites des tests sur vos variables avant de les inserer dans votre base de donné.

• On peut executer du html et du javascript sur votre site

• Un petit coup de htmlspecialchars() vous aurez evitez beaucoup de choses

J'ai testé une faille XSS basique. Tu peux t'en prémunir en échappant toutes les informations que tu affiches avec htmlspecialchars comme dit par Malnux.

Je vais revoir tout ça;

Et sur le form d'avis, pas de soucis à part l'overflow ?

NON juste l'overflow de mon coté et la faille XSS tres simple.

Edit: Le site n'est pas responsive …

Le responsive c'était l'étape d'après

Je crois que je suis allée trop vite pour les 2 petits form par rapport à l'autre juste parce qu'ils étaient plus simple.

En tout cas, merci à vous deux pour votre aide

Juste une remarque au niveau de l'ergonomie (parce que la sécurité ne m'intéresse pas vraiment): personnellement, je n'en ai pas grand chose à carrer du fait que ce soit responsive ou non — si l'on sort l'argument du mobile, la plupart des sites responsives sont biens moins bien navigables que s'ils ne l'étaient pas, parce qu'ils sont mal intégrés.

Cependant, on ne remarque vraiment pas immédiatement que le menu en est un (il est très joli, je te l'accorde), et on ressent un manque de contraste assez gênant sur le texte de bienvenue. On évite en général les polices « serif » sur le Web, au profit des « non-serif », comme l'Helvetica ou la Arial.

À propos de la page d'accueil justement, c'est quelque chose que l'on a de plus en plus tendance à éviter, surtout quand elle n'apport pas d'informations essentielles. Ton texte aurait sûrement sa place dans une page « À propos » ou « Qui sommes-nous ? ». De même, la page « Clin d'œil » ne me semble vraiment pas nécessaire ici.

Le titre « L'espace des pros » ne me parle pas du tout, j'ai la sensation que c'est un espace réservé aux propriétaires d'établissements, alors qu'a priori ce n'est pas le cas.

À propos du texte mettant en place les « règles de bonne conduite », il pourrait être beaucoup plus discret: en l'état, je n'ai pas envie de lire les informations qui vont avec.

Finalement, je pense que le design gagnerait en clarté à être plus sobre, et donc, en potentiel popularité.

Par rapport à ta question sur le référencement sur « vacaf.org », je doit que cela soit possible sans des procédures longues et ennuyeuses, étant donné que cela semble (je ne connais pas ce système) être dépendant de l'État. Je crains qu'il ne faudra trouver une autre façon de se faire connaître…

C'est une blague le "raté" sur la faille de double extension ?

N'importe qui peut poster autant de commentaires qu'il veut sur le formulaire de contact sans s’être inscrit. Les robots vont pouvoir s’éclater…

Pour le problème des robots, ajoute un captcha.

Et par pitié, on dit accueil et non pas acceuil. À part ça, rien à ajouter à mes VDD.

@dab : Je suis d'accord avec toi la navigation n'est pas super, mais j'ai privilégié le côté enfantin puisque vacaf permet à des familles d'emmener leurs enfants en vacances.

Et le texte d'accueil n'est pas super facile à lire, mais ce que j'ai déjà essayé était moche.

Pour l'espace des pros, c'est bien réservé aux propriétaires des campings.

Pour les « règles de bonne conduite », tu as raison ça fait un trop gros pavé. Je reprendrai ça plus tard.

@Croal : non, c'est juste un oubli. C'était pour moi quand je crisais pour afficher mes photos !

@yoch et ThuleMalta (un oubli pour l'accueil): vous pouvez m'expliquer cette histoire de robot ?

Merci pour vos retours

Oui, mais ce ne sont pas les enfants qui vont utiliser ton site. (:

Je pense qu'il faut simplement te passer de ce texte d'accueil, et aller à l'essentiel.

Et pourtant je peux poster dedans, il faudrait une quelconque forme de validation.

vous pouvez m'expliquer cette histoire de robot ?

Actuellement, sans inscription, on peut apparemment poster autant de commentaires que l'on souhaite. Il est donc possible qu'un robot, pour faire de la publicité par exemple, poste un très grand nombre de messages, en un laps de temps très réduit. Pour éviter ça, tu peux mettre en place un système de captcha, afin de t'assurer que tes visiteurs soient bien humains.

C'est vrai que pour les pros, je me suis basée sur la confiance mais tu as raison, il faut que je puisse vérifier leur existence.

@Emeric : Merci pour l'explication sur les robots, je vais donc le faire. Quand au nombre de comm posté, je comptais utiliser l'ip pour limiter le nombre sur chacun des formulaires mais en local je voyais pas comment faire

Je confirme, et ne te dis pas "ça ne m'arrivera pas, c'est bien trop compliqué à faire".
Si c'est le cas, détrompe toi. C'est très très très simple à faire.

Le système de captcha de Google est de mémoire "Relativement" facile à mettre en place. Je met des guillemets, car je me débrouille pas si mal tout de même. Surtout que le nouveau captcha de google est selon moi l'un des meilleurs existant.

Pour le texte d'accueil, comme dit il faudrait raccourcir ceci afin d'aller à l'essentiel. Et je trouve qu'il serait préférable de mettre une couleur uni (gris ?) derrière afin que le texte soit lisible. Si vraiment tu peut mettre un opacité de 70-80%.

Pour donné une idée de ce que je pensais concernant le texte:

1
2
3
4
5
6

section{
    background-color: rgb(230,230,230);
    padding: 15px;
    border-radius: 20px;
    opacity: 0.8;
}

Sinon, il serait bien aussi d'utiliser de l'URL Rewriting pour une question d'esthétisme. (Par exemple, plutôt que d'avoir https://vacafiens.fr/ma_carte.php tu peux avoir https://vacafiens.fr/carte qui pointe au même endroit. Mais c'est du détail.

Si tu as besoin d'aide concernant le captcha ou autre, tu peux toujours demander sur le forum ou m'envoyer un MP, si j'ai un peu de temps libre, je t'aiderai avec grand plaisir.

Ne soit pas décourager et continue !

Edit: Je viens de voir qu'ici tu as fais un peu la même chose que moi sur la page d'accueil, donc si tu sais le faire, autant le faire

Edit2: Un petit rappel, il faut toujours garder en tête qu'on ne peut PAS faire confiance aux utilisateurs visitant notre site, bien que beaucoup de personne viennent en toute innocence, d'autres ne sont pas là pour ça.

Concernant le fait d'utiliser l'adresse IP ce n'est pas forcement très limitant, si tu me donnes 10 minutes je te spam de messages avec un bete script Perl de 10 lignes avec Mechanize que je fais passer dans torify pour contourner ta vérification de l'adresse IP. Ça marche aussi avec beaucoup de "jeux concours" à base de votes.

Oui, la vérification de l'IP n'est pas une bonne solution. Opte plutôt pour un captcha Google des familles.

C'est vrai que pour les pros, je me suis basée sur la confiance

Non.

Personnellement ce qui m'a tout de suite gené c'est le texte qui n'était pas très lisible. Mais le plus gros problème n'est pas là, c'est le menu. C'est super joli mais ce n'est pas visible. J'ai bien prit 30 sec - 1 min pour le trouver. Et encore c'est parce que je savais, d'après ton message ici, qu'il y avait plus qu'un message. Dans le cas où je serait tombé sur ton site par hasard, je serai parti sans le voir en me disant que le site avait un problème et qu'on pouvait pas accéder à son contenu.

L'ergonomie c'est vraiment important : la quasi totalité des internaute vont pas prendre plus de 30 sec pour se faire un avis sur ton site. Si ils ne voient pas le menu, il ne consulteront pas ton site.

D'après moi ta page d'accueil devrait exposer directement le contenu. Tu peux mettre un petit message mais tu devrais présenter directement la liste des derniers avis déposés. Au moins les gens sauraient directement de quoi parle le site.

J'ai eu quelques bugs graphiques aussi sur les boutons qui étaient coupés aussi.

Comment dois-je m'y prendre pour qu'il apparaisse dans les résultats de recherche de vacaf.org svp ?

Contacte les directement mais a mon avis tu as encore un peu de travail pour ça.

Question subsidiaire, as-tu cherché si il existait pas déjà des sites tout prêt pour ce genre de site plutôt que de recoder un site entièrement ? Tu gagnerai beaucoup de temps et de sécurité.

Je serais curieux de savoir quelle est la protection appliquée contre l'injection XSS.

Visiblement, c'est un truc custom qui vire toutes les balises et non htmlspecialchars ou équivalent. Je n'ai pas réussi a mettre cette protection en défaut, mais c'est généralement une meilleure idée d’échapper tout.

Sinon, j'ai trouve un autre vecteur de XSS, a l'insertion d'un hyperlien. Cf. page http://vacafiens.fr/Espace_pros/avis_pros.php (passer la souris sur le dernier lien déclenche une redirection).