PC SOFT

FOROS PROFESIONALES
WINDEVWEBDEV y WINDEV Mobile

Inicio → Irrelevante → Webservices : les protéger un peu ?
Webservices : les protéger un peu ?
Iniciado por François SCHAAL, 12,jul. 2019 11:22 - 4 respuestas
Miembro registrado
1.603 mensajes
Popularité : +64 (70 votes)
Publicado el 12,julio 2019 - 11:22
Bonjour

Si vous utilisez des Webservices, il est possible de créer un fichier qui comprend l'adresseIp de celui qui consulte le Ws obtenu par WebserviceAdresseIPClient() (j'ai retenu une chaîne de 40 car), un champ date et heure, un champ texte qui décrit l'activité et un champ de blocage.

Lorsqu'une activité suspecte est détectée par appel d'un Webservice, je mémorise l'adresse Ip appelante et divers paramètres liés aux activités que je cumule.
Il est possible ensuite de déclarer que l'IP sera bloquée, manuellement ou automatiquement.
Toute opération sur un Webservice est ensuite refusée en fonction de cette IP.
L'inconvénient est de faire un aller/retour sur le fichier HFSQL C/S dans chaque WS mais cela les protège un peu à mon avis.
Ceux qui masquent leur adresse IP par un VPN sont aussi bloqués.

--
Cordialement
François
Miembro registrado
1.623 mensajes
Popularité : +100 (114 votes)
Publicado el 23,julio 2019 - 09:55
Hello,

A mon avis le blocage IP n'est qu'une petite partie de la protection.
Une personne malveillante aura forcément la main sur son IP et pourra la remplacer comme le le souhaite (via VPN)

Suivant l'utilisation du WS (en interne, en externe via des PC fixes ou via des smartphones) il est possible par contre de déclarer une whitelist de IP autorisées. (Bien plus restrictif)

Mais ce n'est utilisable qu'avec des users en IP fixe. (Bye bye les smartphone en nomade)
Publicado el 23,julio 2019 - 13:24
Ca fait bien 10 ans que le blocage d'ip n'a plus vraiment de sens, on peut changer d'ip tellement rapidement :P.

La meilleur sécurité pour un webservice, c'est un token à utilisation unique, le premier est obtenu par login mot de passe (avec une double authentification email, sms, authenticateur) et ensuite les tokens suivants sont fournis à l'utilisation du précédent ^_^.

Perso je sécurise comme cela, et histoire de rajouter une couche, j'utilise un JWT.
Publicado el 25,julio 2019 - 17:45
Bonjour

Ce n'est pas à la couche applicative de s'occuper de protéger le système contre les attaques (tentatives d'intrusion, vol ou corruption de données, DDOS, ...) Des outils spécialises, hard ou soft, le font bien mieux que tout ce que ton web service pourra tenter. Bien sur rien n'empêche de mettre la ceinture, les bretelles et le parachute...

Jerem
Publicado el 26,julio 2019 - 09:07
Je plussoie !