Bonjour,

Merci bcp pour ces précisions !

Pour le hachage et sel je connaissais, donc si je limite bien les droits d'accès au xml c'est ok, je vais faire ça alors...

Pour le https j'ai vu sur cette page d'OVH : http://guides.ovh.com/SslSurMutu qu'on pouvait mettre une adresse de ce type pour éviter le message d'alerte : https://ssl2.ovh.net/~LoginFTP
Est-ce que c'est bien comme solution ? Du coup le login ftp est visible dans l'adresse, c'est pas embattant ?

Qu'entends tu par "si tu te fais pirater ton hébergement", de quel façon ça pourrait arriver dans mon cas ?

Pour le cryptage il faudrait que je cript tous les fichiers avant de les copier sur le serveurs et que je les décrypte avant de les récupérer, c'est bien ça ?

Et le dossier "tmp" en mutualisé, ça ne pause pas de soucis ?

Dropbox ça serait peut-être plus sur, mais la personne pour qui je fais ça tient absolument à ce que les fichiers soit accessible directement via son site.

Tu peux mettre tes utilisateurs dans un xml (avec les mdp [url=tp://fr.wikipedia.org/wiki/Salage_(cryptographie)]hachés et bien salés[/url]), et même mettre ce XML dans ton répertoire web pour autant que tu en limites l'accès (droits & .htaccess).

Pour le https, il te faudra générer un certificat, soit en acheter un (qui aura comme avantage de ne pas émettre d'alertes lors d'une connexion). Les communications seront ainsi cryptées entre le client et le serveur, mais pas une fois arrivés chez ceux-ci (si tu te fais pirater ton hébergement, tout sera accessible), à moins que tu n'implémentes une solution de cryptage sur ton serveur.

Sinon, si c'est une solution d'échange de fichiers que tu recherches, il y à DropBox, par exemple.

...enfin je voulais dire https et non shttp...

Personnes n'a de petits conseils à me donner ??

je viens de voir qu'il y avait sur le site un forum dédié à la sécurité, est-ce qu'il serait possible de déplacer ma question dans ce forum ? si oui merci

Bonjour,

Je suis en train de faire un site tout simple. Ce site permettra à 4 ou 5 personnes d'uploader et télécharger des fichiers sur un serveurs.

Pour l'instant il y a :
- une page html avec un formulaire de login.
- une autre page html qui contient un swf, ce swf recupère (via php) la liste des fichiers se trouvant dans un dossier correspondant à la personne qui s'est logué et les affiche.
On peut dans ce swf : uploder des nouveaux fichiers dans le dossier, télécharger ou supprimer les fichiers déjà présents dans le dossier.

J'ai choisi swf pour permettre de faire une barre de % de téléchargement.

Donc mes questions concernant la sécurité :
Je me demande si je pourrais stoker les logins et mots de passe des utilisateurs dans un xml au lieu de créer une base juste pour ça ?
Sachant que la liste des utilisateurs n'est pas longue et quelle ne va pas changer souvent.
Est-ce que ça serait du coup moins sur, quels seraient les risques ?
Si c'est faisable il faudrait que je mette ce xml dans un dossier hors web et configurer les droits d'accès au fichier ?

Aussi le site est hébergé sur un serveur ovh mutualisé. J'ai lu que pour les serveurs mutualisé, le dossier "tmp" dans lequel sont stockés momentanément les fichiers uploadés pouvait être accessible par d'autres gens abonnés aussi à ovh ? Est-ce que c'est bien ça ? Dans ce cas est-ce que je peux créer un autre dossier qui servira de "tmp" ? Que faut-il faire exactement ?

Et enfin, étant donné que ces fichiers seront plus ou moins confidentiels, quels sont les risques si je n'utilise pas une shttp ? Est-ce que quelqu'un pourrait intercepter les fichiers pendant le transport ?, est-ce que ça vaut le coup de mettre en place shttp et est-ce que c'est compliqué ?