bonjour,

on peut bien assurer l’intégrité des échanges en chiffrant à l'aide d'une clé avec la fonction php [url=http://us2.php.net/manual/fr/function.mcrypt-encrypt.php#78531]mcrypt_encrypt()[/url].C'est juste un algo de chiffrement AES dont beaucoup de langages supportent. A l'inverse pour déchiffrer sur Objective-C t'as besoin de la clé de chiffrement et du message chiffré.
un exemple de chiffrement et déchiffrement : [url=http://us2.php.net/manual/fr/function.mcrypt-encrypt.php#78531]classe cipher[/url].

Concernant le token, tu peux le créer à partir du numéro de téléphone question de s'assurer de l'unicité du token. cela suppose à l'inscription, récupérer le numéro du téléphone(c'est possible sous Android) depuis ios, le hasher et le transmettre (en même temps que le login, password...) en POST au script php qui doit traiter le formulaire d'inscription. ce formulaire pouvant avoir un élément de type hidden (<imput name='token' type='hidden'>).

Quand à la lecture des données protégées, à chaque requête http du mobile, il faut vérifier que le token fournit par le client est le même que celui qui a été stocké en base de données. Un problème se pose: comment prouver l'identité de l'émetteur du token car n'importe qui ayant connaissance du token peut interroger le serveur web? des cookies peuvent être transmis chez le client au moment de l'inscription puis à chaque envoie de token récupérer la valeur du cookie stocké en bd et le comparé avec celui fourni par le client.là aussi n'importe qui peut modifier le cookie.

Bonjour,

Je parle en priorité de protéger l'intégrité.
Mais je suppose que s'il existe des moyens de crypter, je suis preneur également.
J'utiliserai un certificat SSL dans tous les cas, mais je souhaite offrir un minimum de sécurité à des utilisateurs qui ne souhaitent pas acquérir un certificat SSL.
Merci bcp.

Hello

Tu parle de chiffrer crypter ou protéger l'intégrité ?

Bonjour à tous,

J'ai créé une appli iphone qui charge des données depuis un site web.
Le site web délivre des données au format json à l'appli à chaque fois que celle-ci effectue une requête http en appelant une url spécifique du site web.

Les données envoyées par le site web sont des informations de compte utilisateur: username, email, adresse, mot de passe...
Je souhaite m'assurer que ces données sont protégées lors des échanges entre l'appli et le site.

Je sais que le https est un des 1ers réflexes à adopter.
Cependant, si je distribue l'appli, je souhaite éviter à chaque utilisateur de devoir obtenir un certificat SSL avant de pouvoir utiliser mon appli.

Je souhaite savoir s'il existe des techniques ou mécanismes en PHP qui permettent de protéger les données et les échanges en s'assurant le le client qui se connecte au site y est bien autorisé.

J'ai par exemple déjà vu dans des cms comme joomla, que tous les formulaires contiennent un champ hidden qui contient un token qui est envoyé à la soumission, pour des contrôles que je ne suis pas certain de pouvoir expliquer en détail.

Merci pour toute suggestion qui pourrait me permettre d'avoir une vision plus globale des moyens existants pour protéger des échanges http entre un client et une application php sur un serveur.

Je me permets de mettre cette question dans la rubrique php et pas la rubrique serveur car je suppose que les solutions proposées seront essentiellement des techniques PHP.

En vous remerciant pour vos réponses.