FORUMS PROFESSIONNELS
WINDEV
,
WEBDEV
et
WINDEV Mobile
Accueil
|
Messages récents
|
Connexion
|
Déconnexion
|
Français
Accueil
→
Hors-sujet
→
Webservices : les protéger un peu ?
Webservices : les protéger un peu ?
Débuté par François SCHAAL, 12 juil. 2019 11:22 - 4 réponses
Connectez-vous…
François SCHAAL
#1
Membre enregistré
1 603 messages
Popularité : +64 (70 votes)
Posté le 12 juillet 2019 - 11:22
Bonjour
Si vous utilisez des Webservices, il est possible de créer un fichier qui comprend l'adresseIp de celui qui consulte le Ws obtenu par WebserviceAdresseIPClient() (j'ai retenu une chaîne de 40 car), un champ date et heure, un champ texte qui décrit l'activité et un champ de blocage.
Lorsqu'une activité suspecte est détectée par appel d'un Webservice, je mémorise l'adresse Ip appelante et divers paramètres liés aux activités que je cumule.
Il est possible ensuite de déclarer que l'IP sera bloquée, manuellement ou automatiquement.
Toute opération sur un Webservice est ensuite refusée en fonction de cette IP.
L'inconvénient est de faire un aller/retour sur le fichier HFSQL C/S dans chaque WS mais cela les protège un peu à mon avis.
Ceux qui masquent leur adresse IP par un VPN sont aussi bloqués.
--
Cordialement
François
Signaler
0
0
François C.
#2
Membre enregistré
1 623 messages
Popularité : +100 (114 votes)
Posté le 23 juillet 2019 - 09:55
Hello,
A mon avis le blocage IP n'est qu'une petite partie de la protection.
Une personne malveillante aura forcément la main sur son IP et pourra la remplacer comme le le souhaite (via VPN)
Suivant l'utilisation du WS (en interne, en externe via des PC fixes ou via des smartphones) il est possible par contre de déclarer une whitelist de IP autorisées. (Bien plus restrictif)
Mais ce n'est utilisable qu'avec des users en IP fixe. (Bye bye les smartphone en nomade)
Signaler
0
0
John Witt
#3
Posté le 23 juillet 2019 - 13:24
Ca fait bien 10 ans que le blocage d'ip n'a plus vraiment de sens, on peut changer d'ip tellement rapidement
.
La meilleur sécurité pour un webservice, c'est un token à utilisation unique, le premier est obtenu par login mot de passe (avec une double authentification email, sms, authenticateur) et ensuite les tokens suivants sont fournis à l'utilisation du précédent ^_^.
Perso je sécurise comme cela, et histoire de rajouter une couche, j'utilise un JWT.
Signaler
0
0
Jérémy Siegentaler
#4
Posté le 25 juillet 2019 - 17:45
Bonjour
Ce n'est pas à la couche applicative de s'occuper de protéger le système contre les attaques (tentatives d'intrusion, vol ou corruption de données, DDOS, ...) Des outils spécialises, hard ou soft, le font bien mieux que tout ce que ton web service pourra tenter. Bien sur rien n'empêche de mettre la ceinture, les bretelles et le parachute...
Jerem
Signaler
0
0
Eric
#5
Posté le 26 juillet 2019 - 09:07
Je plussoie !
Signaler
0
0
→ Revenir à Hors-sujet
WINDEV 2024
WEBDEV 2024
WINDEV Mobile 2024
WINDEV (précédentes versions)
WEBDEV (précédentes versions)
WINDEV Mobile (précédentes versions)
Etats & Requêtes
Hors-sujet
Outils
Français
English
Español
Portuguesa
Fermer cette fenêtre
Type de recherche
Uniquement les sujets
Tous les messages
Période de recherche
Date indifférente
Moins d'une heure
Moins de 24 heures
Moins d'une semaine
Moins d'un mois
Moins d'un an
Annuler
Aperçu de votre message
Ajouter une image
Importer une image depuis une URL
Envoyer une image depuis un fichier de votre disque
Déposez ici un fichier ou cliquez sur "Parcourir..."
ou
Annuler
0%
WLangage
SQL
XML, HTML
JAVA, Javascript
Texte