Page 1 sur 1
Intranet?
Posté : 05 sept. 2006, 05:18
par Mike_php
Bonjour à tous, je veux créer un intranet et j'aimerais savoir comment m'y prendre. Dois-je utiliser les sessions et les cookies, ou bien vérifier si l'utilisateur existe dans une base de données? Et pour la sécurité, comment ça fonctionne? Est-ce quelqu'un à de bons tuto à me référer?
Merci les copains!
Posté : 05 sept. 2006, 09:28
par albat
Les cookies me semblent la pire solution.
D'autant plus qu'un utilisateur peut les interdire en paramétrant son navigateur.
Sans plus d'informations sur ton projet,
j'opterais pour une table "utilisateurs" base de données
contenant les logins et les mots de passe (cryptés) des inscrits,
et l'utilisation des sessions pour leur navigation sur l'Intranet après identification.
Posté : 05 sept. 2006, 10:33
par Ryle
C'est difficile à dire, puisque tout dépend de ce que tu veux faire sur ton intranet
- Si c'est juste un site interne pour présenter des infos, il n'y a rien de spécial à mettre en place.
- Si tu as besoin d'identifier et de suivre les utilisateurs pendant leur navigation il faut un systeme d'authentification et de session. L'authentification peut se faire sur une base que tu réalises, depuis un annuaire LDAP, en NTLM si ton réseau est sous windows... Je pense qu'il serait de toute façon judicieux de faire une base dédiée si tu dois accorde des droits différents. A voir ensuite les informations qu'il te faut stocker dedans en fonction de celle d'un éventuel annuaire. (si tu conserves des données personnelles, il doit y avoir des histoires de déclaration cnil à faire)
- Si tu as besoin de stocker des informations sur le poste de l'utilisateur entre deux connexions, alors il te faut utiliser les cookies..
Posté : 05 sept. 2006, 11:09
par Henri
contenant les logins et les mots de passe (cryptés) des inscrits
Toujours bien réfléchir avant de crypter les mots de passe des membres d'un intranet : Est-ce que le cryptage est vraiment nécessaire (niveau de sécurité des informations, qui a accès à la base des mots de passe ?).
Pour une simple raison : le nombre d'utilisateurs qui oublient leur mot de passe est absolument hallucinant, surtout aux retours de vacances. Et donc le nombre de coups de téléphone à l'admin du système, même si tu mets en place un système automatique pour qu'ils puissent récupérer automatiquement les mots de passe (expérience vécue sur de nombreux systèmes).
Avec des mots de passe non cryptés, l'admin répond au téléphone sans problème.
Avec des mots de passe cryptés, il faut mettre en place une procédure de création de nouveau mot de passe.
Attention également à la génération automatique de mots de passe : si l'utilisateur ne peut pas gérer lui même son mot de passe (sa date de naissance, le nom de son gamin ou de son chien, ...), le mot de passe sera inscrit sur un postit collé sur l'écran ou dans le tiroir du bureau.
Entendons-nous bien : je ne dis pas qu'il ne faut pas crypter les mots de passe. Je dis qu'il faut se poser la question : aspect pratique versus sécurité.
Posté : 05 sept. 2006, 11:17
par albat
Tout à fait d'accord avec toi, Henri.
Le nombre d'amnésiques aux mots de passe est impressionnant.
Posté : 05 sept. 2006, 11:22
par jojolapine
c'est peut-être vrai, mais ça n'est pas bien difficile de regénérer un mot de passe...
Moi par exemple j'ai un site ou les mot de passes sont haché en md5 et lorsque l'utilisateur à oublié sont mode passe il faut qu'il se souvienne simplement de son adresse e-mail (si il la sait pas on peu plus rien pour lui)
et un mot de passe est regénérer ensuite libre à lui d'aller le changer dans son espace d'administration pour un mot de passe qu'il retiendra peut-être
Posté : 05 sept. 2006, 12:19
par Henri
@jojolapine,
Je suis entièrement d'accord avec toi pour un site public ou semi-public. Mais dans le cadre d'un intranet à l'intérieur d'une entreprise, les mentalités sont autres : les utilisateurs connaissent souvent l'administrateur et la solution de facilité est de lui téléphoner, plutôt que de suivre une procédure en plusieurs étapes. Et plus l'utilisateur est haut placé dans la hiérarchie, moins il voudra se faire ch... et plus il exigera un accès immédiat à l'application, même si c'est lui qui a insisté pour que la procédure email soit mise en place.
Posté : 05 sept. 2006, 12:23
par Ryle
même si c'est lui qui a insisté pour que la procédure email soit mise en place.
C'est tellement vrai... et ça marche aussi avec des clients...
Posté : 05 sept. 2006, 17:35
par Mike_php
Je précise un peu.
L'intranet servira à des professeurs d'entrer des liens URL avec informations dans une base de données.
Seul les proffesseurs doivent y avoir accès. Les élèves les consultent.
Pour l'instant la base de données s'affiche sur leur site et ils doivent m'envoyer par courriel les nouveaux liens qu'ils ont trouvés pour que je puisse les afficher.
Merci pour votre aide les copins!
Tuto
Posté : 06 sept. 2006, 02:53
par Mike_php
Salut, j'ai trouvé un tuto pour ce que je veux faire.
http://www.asp-php.net/scripts/asp-php/mot_de_passe.php Voir page 2.
Merci pour vos conseils les copains.