Bonjour,
Je possède deux choses :
- Un logiciel en VB.NET
- Un site avec une base de données "Users" qui répertorie une liste d'utilisateur (ID ; User ; Pass ; Banned ; RegistrationDate)
Lorsqu'un utilisateur entre son pseudo et son mot de passe sur le logiciel, le logiciel accède à une page PHP du site en lui envoyant deux informations : L'username et le password (tapés par l'utilisateur)
Un script PHP va ensuite vérifier si l'utilisateur existe dans la base de données et si les mots de passe correspondent. La page PHP renvoie "OK" si le mot de passe est correct ; "UserNotFound" si l'utilisateur est introuvable dans la base de données et "BANNED" si l'utilisateur est banni.
Le logiciel VB.NET récupère le résultat pour ensuite faire le travail (si la page PHP renvoie "OK", le logiciel affiche une form ; si elle renvoie "BANNED" le logiciel affiche un message d'erreur ; etc...)
Il y a d'autre page PHP pour bannir un utilisateur par exemple.
Le logiciel devra accedez à monsite.com/ban.php?user=Utilisateur_a_bannir
Jusque là tout va bien. Tout est créer et tout fonctionne parfaitement.
Mais le gros problème est au niveau de la sécurité. Bien évidemment, tout est crypté (les mots de passe dans la base de données ; la réponse des scripts PHP (OK / BANNED / ...) mais il y a quand même un problème de sécurité.
C'est la première fois que je réalise un système de connexion comme ça et je ne sais pas du tout quoi faire pour le sécuriser.
Par exemple, un utilisateur peut très bien modifier les réponses des pages PHP (en recryptant le tout)
Ou encore pire, un utilisateur peut très bien accédez lui même, depuis son navigateur, à la page monsite.com/ban.php?user=Utilisateur_a_bannir et ainsi bannir n'importe quel utilisateur.
Bref, vous avez compris, j'ai tout fini mais je ne sais pas du tout quoi faire pour sécuriser ce système. Peut être que ce n'est pas du tout comme ça qu'il faut faire pour un système de connexion ; peut être qu'il manque 2/3 truc pour sécurisé ; peut être qu'il faut demander un mot de passe pour chaque requête PHP ; etc...
Je suis perdu et j'ai besoin de votre aide.
Merci d'avoir tout lu et merci d'avance pour vos réponses !