Transaction cryptées avec le serveur?
Bonjour à tous,
Dévelopant depuis un bout de temps sous Python, je viens de me mettre au PHP pour avoir plus de contrôle sur le fonctionnement de mon site (gestion par wordpress). Seulement, il y a une action dont je ne trouve pas de description précise dans les diverses documentations et que je voudrais mettre en place sur le site, peut-être pourrez-vous m'éclairer...
J'ai besoin que que les "authors" de mon site, puisse uploader une image directement dans le dossier dédié du serveur, et qu'un champ "custom field" soit remplit automatiquement en conséquence. Or, la question que je me pose: si j'implémente une fonction comme çà "à découvert", est-ce qu'il ne vaut pas mieux crypter, ou au moins chiffrer la transaction entre mon l'utilisateur et le serveur au moment de l'envoi? Voici ma crainte: J'ai un compte spécial auteurs sur le dossier du FTP que je voudrais cibler, comment faire pour que les informations wordpress de l'auteur (mot de passe) et le mot de passe du FTP qu'il transmettra au moment de se connecter pour uploader, n'apparaissent pas en clair? Parce qu'une fois qu'une fois le mot de passe en main, celui qui veut hacker le site a déjà un pied dans la barraque :D
Je suis pas certain que ma requête soit très clair; mais pour l'instant j'avoue que j'ai du mal à mieux faire :) En espérant que quelqu'un saura me répondre... merci par avance :)
Réponses apportées à cette discussion
Salut et bonne année,
C'est rare de voir des développeurs qui passent de PHP à Python mais encore plus rare de voir l'inverse ^^ Concernant ta question, je ne comprends pas trop à vrai dire. Du moins, pourquoi veux-tu faire du FTP pour un upload ? En PHP (comme en Python je suppose), tu peux uploader des documents en HTTP, donc tu n'as pas besoin d'ouvrir de connexion FTP. Pourquoi n'opterais-tu pas pour cette solution simple ?
Sinon, le seul moyen de chiffrer les données qui transitent entre un serveur web et un poste client, c'est de passer par une connexion HTTPS afin de garantir la confidentialité et l'intégrité des données échangées.
Et si toutefois tu veux absolument faire du FTP sans connexion HTTPS, alors le seul moyen c'est d'attribuer un couple login / password FTP avec des droits très restreints. C'est-a-dire qu'avec ce compte, l'utilisateur ne pourra attérir que dans un seul et unique répertoire du serveur. Ses droits ne lui permettront pas de remonter aux niveaux supérieurs et d'accéder à d'autres répertoires et fichiers du système de fichiers.
++
Oui, c'est vrai que c'est étonnant :) Mais j'ai tenté Plone/Zope pour les sites intégrés python, et ca me séduit pas; donc je continue la programmation objet avec Python et j'opte pour PHP afin de mieux comprendre le fonctionnement de mon wordpress :)
Non, je tiens pas à passer par une requête ftp; mais je ne veux pas que les transmissions soient faites à nues. Je veux que lors de l'échange de fichier, la communication soit cryptée, pour qu'à aucun moment les informations ne soient en claires. Je crois que je vais opter pour le https; même si j'ai trouvé une solution à base de commande crypt et de réglage du .htaccess/.htpasswds qui puisse faire l'affaire également :) A tester donc.
En tout cas merci pour m'avoir répondu si vite :)
Comment se fait-il que tu n'aies pas essayé le framework Django de Python ?