Forum d'entraide PHPFrance

Bonjour tout le monde,
J'ai un projet de transaction, ou il y a 2 personnes pour une transaction, il ont donc chacun leur espace de visite.

la partie créatrice remplie les informations de la transaction, une fois celle-ci crée, je ne sais quel méthode utilisait pour informait la partie non-créatrice.

- générer un lien à envoyer (me parait peu sécurisée)
- utiliser les mails(augmente le risque de spam,phising,tentative d'usurpation)

Quel méthodes ou moyen me conseillez vous ?

Merci
Cordialement

L'e-mail est ce qu'il y a de plus sûr et pratique pour faire ça.

Tu peux éventuellement demander un n° de portable et envoyer un SMS mais il y a des coûts additionnels à prévoir (6 à 10 centimes d'euros/sms en général pour la France)

Salutations !

Il n'y a pas 36 solutions pour notifier quelqu'un

Le plus sécurisé, c'est d'avoir des notifications sur ton site/application. Il n'y a que lorsque l'utilisateur se connecte (et passe donc le processus d'authentification avec succès) qu'il a accès à ses informations et peut aller consulter les transactions le concernant. Le problème, c'est que pour avoir l'information, il faut qu'il pense à se connecter régulièrement, ce qui est vite frustrant quand il n'y a rien de nouveau.

Il est donc toujours bon de coupler cela avec une notification qui va informer l'utilisateur que quelque chose a changé et qu'il peut revenir pour voir de quoi il s'agit

Le mail reste la solution la plus simple et la plus basique (aussi bien à mettre en oeuvre pour toi, qu'a recevoir par le destinataire). Il y a effectivement toujours un risque que tes mails soient considérés comme spam, mais dans la mesure où ton utilisateur demande ce service, tu peux aussi l'informer qu'il doit contrôler ses courriers indésirables ou autoriser l'expéditeur.
Pour ce qui est du phishing, tu ne peux hélas pas y faire grand chose à part informer du risque le cas échéant (même les plus grosses institutions en sont victimes), mais celui-ci peut exister quel que soit le mode utilisé (mail, téléphone, sms...)
Dans tous les cas, il n'est pas recommandé d'envoyer de lien "direct" dans le mail, car tu ne sais jamais qui est susceptible de le recevoir ou de le voir passer. Le mieux dans ce cas là étant de diriger l'utilisateur vers l'authentification de ton site pour t'assurer qu'il a légitimement le droit d'accéder à la ressource (et éventuellement le redirigé une fois qu'il est authentifié vers la page concernée ou simplement lui indiquer les nouvelles transactions à la connexion).

Tu peux aussi utiliser un service de sms. C'est un peu plus complexe à mettre en oeuvre et il faut obtenir le numéro de téléphone de l'utilisateur (les gens étant généralement plus enclins à donner un email parce qu'ils peuvent en avoir plusieurs et choisissent celui qu'ils te communiquent, plutôt que de communiquer un numéro de téléphone généralement personnel).

Si tu développes une application mobile, tu peux utiliser les notifications push (c'est ce qui te dit que tu as reçu 3 nouveaux messages ou qu'il y a une nouvelle vidéo à voir sur youtube, etc.). Pour le coup c'est un dev complémentaire, des interactions entre l'application et le serveur, mais c'est sans doute le plus confortable pour l'utilisateur.

Après il reste le pigeon voyageur et le télégramme chanté, et si j'avoue qu'ils ont un certain charme, ils sont quand même bien plus difficile à mettre en oeuvre


Edit : ouais ben voilà, pareil qu'@rthur... :p

Edit : ouais ben voilà, pareil qu'@rthur... :p

Moi je trouve que tu expliques trop bien

Bonjour,

J'ai opté pour la méthode par mail.
Cependant, en plus de la signature Dkim, que j'intégrerai lorsque le site sera en production.
En plus de celà, je souhaite juste signé(non crypter) en pgp le contenu/body du message et inclure cette signature en pièce jointe.

La librairie PHPMailer facilite les choses concernant les signature dkim ; pièce jointe, ....
Mais, vu que PHPMailer ne supporte pas officiellement le pgp, j'ai du mal à trouver une librairie en php qui fasse le job.


L'extension php(pecl.php.net/gnupg) serai bien, mais pas portative(l'installation dépend de l'os utilisé) et difficile à installer selon mes testS.
la librairie d'openpgp(https://github.com/singpolyma/openpgp-php) manque de documentation et de ce fait, je ne sais même pas si ça correspond à mes besoins!!!

Si vous en savez plus, je suis preneur,
Merci bien, cordialement

Si tu ne veux pas chiffrer mais juste signer via PGP un mail qui a été envoyé depuis un serveur, ça fait un peu un doublon avec DKIM dont c'est précisément la fonction première.
Surtout que le taux d'adoption de DKIM est beaucoup + important que PGP.


J'ai trouvé un fork d'une ancienne version de phpmailer qui intègre PGP :
https://github.com/ravisorg/PHPMailer/tree/openpgp
Vu que cette version n'est pas maintenue depuis 3 ans, c'est difficile de la conseiller mais ça peut être un bon point de départ à minima.

Bonjour, Merci pour votre réponse,

J'ai vu cette sous class lors de mes recherches mais j'ai des problèmes à l'intégration :

Notice: Undefined property: PHPMailer\PHPMailer\PHPMailerPGP::$Version in C:\wamp64\www\test\PHPMailer\src\PHPMailer.php on line 4545

Fatal error: Uncaught Error: Class 'PHPMailer\PHPMailer\phpmailerPGPException' not found in C:\wamp64\www\test\PHPMailer\src\PHPMailer.php:4558 Stack trace: #0 C:\wamp64\www\test\PHPMailer\src\PHPMailer.php(4668): PHPMailer\PHPMailer\PHPMailerPGP->initGNUPG() #1 C:\wamp64\www\test\index.php(42): PHPMailer\PHPMailer\PHPMailerPGP->encrypt(true) #2 {main} thrown in C:\wamp64\www\test\PHPMailer\src\PHPMailer.php on line 4558

Je pense que le site va être à 98% sous une distribution linux en production, je vais installer gpg(apt-get) sur la distribution et faire des shell_exec() et parser le contenu.

Auriez-vous des conseils pour installer des extensions pecl/perl pour php sans trop de difficultés notamment gnupg ?

Merci bien