Cas pratique de sécurisation SSL

yann214 · 4 Mai 2012

Imaginons une boutique en ligne sur laquelle les utilisateurs peuvent se connecter et créditer un compte client via un formulaire de banque sécurisé (dont nous ne occuperons pas ici).

Ces clients peuvent ensuite utiliser leur compte pour acheter des produits.

Afin de sécuriser ces comptes clients, il convient de mettre en place des systèmes qui feront en sorte que personne ne viendra les "pirater".

Quelles seraient selon vous les bonnes pratiques à mettre en oeuvre.

Je pense que la sécurisation de la phase de login via SSL est impérative.
Mais comment protéger ensuite le client contre le vol de cookie/session et s'assurer que personne ne viendra utiliser leur crédit pour acheter des produits ?

Axiso · 7 Mai 2012

Avec un mot de passe complétaire demandé à chaque achat et qu'il ne sera pas possible d'enregistrer en mémoire dans son navigateur ?
Avec envoi d'un code unique par e-mail ou SMS pour chaque achat ?

zeb · 7 Mai 2012

yann214 a dit:
Mais comment protéger ensuite le client contre le vol de cookie/session et s'assurer que personne ne viendra utiliser leur crédit pour acheter des produits ?

S'assurer que pour une session donnée, les produits achetés ne puissent être livré qu'a l'adresse du propriétaire réel du compte.
Bref faire en sorte que le détournement de session ne puisse pas profiter a un autre utilisateur.
ça reviens a attacher le numéro de session a un compte utilisateur et a obliger une validation par mail (mail, qui ne peut être changé) pour toute modification du compte utilisateur (pour parer au changement d'adresse par exemple).
ça évite de se prendre la tête avec la sécurité en rendant la démarche stérile.

Axiso · 7 Mai 2012

zeb a dit:
ça évite de se prendre la tête avec la sécurité en rendant la démarche stérile.

Toutefois, vu que la boutique en question intègre un crédit à y dépenser, le vilain pirate terroriste pourra encore générer des commandes par plaisanterie et les faire expédier chez le client. Dans ce cas Yann214 risque de livrer des achats qui seront ensuite annulés.

zeb · 8 Mai 2012

Axiso a dit:
Dans ce cas Yann214 risque de livrer des achats qui seront ensuite annulés.

Certes, mais t'en connais beaucoup qui travaillent pour rien ? Ensuite si la commande demande une validation mail par exemple le problème tombe.
Se qu'il faut penser, quelque soit la solution adoptée, c'est qu'un protocole bien pensé est souvent plus fiable qu'une réponse technologique "bricolée" (avis perso).
J'ajoute que pour avoir vu des dizaines de "solution sécurité" dev par des gens différents, je suis toujours amusé de voir le nombre de failles introduites pour en sécuriser une.

yann214 · 9 Mai 2012

L'idée de la confirmation par mail est plutôt intéressante

D'autant qu'il s'agit de produits dématérialisés.

Et on peut imaginer qu'un changement de mail soit possible avec une confirmation par l'ancien mail également.

Ca n’empêche pas le vol de session, mais ça sécurise les paiements.

J'ai cru lire qu'il y avait la possibilité de crypter uniquement les cookies ? et pas les pages entières.
Quelqu'un a des infos à ce sujet ?