Discussion:
Ouvrir une page https avec des donnees en POST
(trop ancien pour répondre)
Anrael
2007-03-25 11:16:53 UTC
Permalink
Bonjour,

j'ai une page avec un formulaire, permettant la saisie de quelques données
et abritant actuellement une petite floppée de valeurs cachées. Les données
doivent être envoyées en POST à un site https.

J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page html,
car elles sont facilement accessibles si on affiche la source. Je souhaite
donc envoyer les données à une page php, qui complète les données saisies
avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant les
données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement, j'obtiens
l'erreur :
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.

Quelqu'un aurait une idée, avant que je désactive l'affichage de la source
(mais c'est moins fun) ?


Le code utilisé :
// Création d'une instance de cUrl
$aCUrl = curl_init();

curl_setopt($aCUrl, CURLOPT_URL, "https://www.siteglop.com");
curl_setopt($aCUrl, CURLOPT_SSLVERSION, 3);
curl_setopt($aCUrl, CURLOPT_POST, 1);
curl_setopt($aCUrl, CURLOPT_POSTFIELDS, $sData);
curl_setopt($aCUrl, CURLOPT_SSL_VERIFYPEER, FALSE);
curl_setopt($aCUrl, CURLOPT_USERAGENT, $defined_vars['HTTP_USER_AGENT']);
// C'est parti
curl_exec($aCUrl);

$sErr = curl_error($aCUrl);

// Nettoyage
curl_close($aCUrl);

printf($sErr);
Olivier
2007-03-25 13:34:02 UTC
Permalink
Post by Anrael
Bonjour,
j'ai une page avec un formulaire, permettant la saisie de quelques données
et abritant actuellement une petite floppée de valeurs cachées. Les données
doivent être envoyées en POST à un site https.
J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page html,
car elles sont facilement accessibles si on affiche la source. Je souhaite
donc envoyer les données à une page php, qui complète les données saisies
avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant les
données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement, j'obtiens
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.
Il y a du https chez free ?
Post by Anrael
Quelqu'un aurait une idée, avant que je désactive l'affichage de la source
(mais c'est moins fun) ?
Je suis curieux : soit j'ai mal compris la phrase soit je suis très
intéressé par ta méthode.
--
Olivier
- Parce que sinon cela rompt le cours normal de la conversation.
- Pourquoi répond on après la question ?
<http://www.faqs.org/faqs/fr/usenet/repondre-sur-usenet/> merci.
Anrael
2007-03-26 05:43:56 UTC
Permalink
Post by Olivier
Post by Anrael
Bonjour,
j'ai une page avec un formulaire, permettant la saisie de quelques données
et abritant actuellement une petite floppée de valeurs cachées. Les données
doivent être envoyées en POST à un site https.
J'aimerais beaucoup ne pas inclure les valeurs cachées dans la page html,
car elles sont facilement accessibles si on affiche la source. Je souhaite
donc envoyer les données à une page php, qui complète les données saisies
avec les valeurs cachées, et ouvre ensuite le site https en lui envoyant les
données en POST.
Je pensais avoir la solution en utilisant cUrl. Malheureusement, j'obtiens
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Pour info, mon site est hébergé par Free.
Il y a du https chez free ?
J'aurais dû me douter en écrivant ce post à 6h du matin après une nuit
blanche qu'il manquerait de clarté -_-
Non, Free héberge mon site avec la page permettant la saisie des données.
Le site https (paypal, soyons précis) que je désire ouvrir et à qui je veux
envoyer les data en post, est hébergé je-ne-sais-où mais pas chez Free. Chez
Paypal je suppose ^^
Post by Olivier
Post by Anrael
Quelqu'un aurait une idée, avant que je désactive l'affichage de la source
(mais c'est moins fun) ?
Je suis curieux : soit j'ai mal compris la phrase soit je suis très
intéressé par ta méthode.
Ma foi, mon problème vient d'une petite touche de parano : je ne veux pas
mettre les data supplémentaires dans la page html parce qu'il est trop
simple à mon goût d'afficher la source de la page, et donc de pouvoir lire
les "input hidden" de la form. Si je n'arrive pas à mes fins, je me
contenterai de désactiver le clic droit de la souris, et utiliserai
classiquement la form et ses multiples champs cachés. Après tout, ça
concerne une petite association de quartier, pas un site marchand ni
bancaire ^^;

Pas d'idée sinon ?
Post by Olivier
--
Olivier
Diantre, je le savais pourtant ^^
Post by Olivier
- Parce que sinon cela rompt le cours normal de la conversation.
- Pourquoi répond on après la question ?
<http://www.faqs.org/faqs/fr/usenet/repondre-sur-usenet/> merci.
--
Anrael
Les élucubrations de la loutre endormie sont impuissantes face à la colère
du dragon aux ailes cendrées.
Olivier Miakinen
2007-03-26 07:37:28 UTC
Permalink
Post by Anrael
Post by Anrael
Je pensais avoir la solution en utilisant cUrl. Malheureusement,
error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol
Je n'ai pas encore utilisé CURL en PHP, ni lu la doc. Mais voici déjà
quelques idées :
1) essayer avec "https://www.siteglop.com/" qui est une URL plutôt que
"https://www.siteglop.com" qui s'arrête au nom de domaine ;
2) vérifier le contenu de $sData et $defined_vars['HTTP_USER_AGENT'].
Post by Anrael
Ma foi, mon problème vient d'une petite touche de parano : je ne veux pas
mettre les data supplémentaires dans la page html parce qu'il est trop
simple à mon goût d'afficher la source de la page, et donc de pouvoir lire
les "input hidden" de la form.
Si ces données doivent être cachées, pourquoi ne pas les chiffrer ?
Selon le degré de confidentialité cherché, un simple masquage par XOR
pourrait suffire. En tout cas, tu as raison, il est très facile de lire
le code source.
Post by Anrael
Si je n'arrive pas à mes fins, je me
contenterai de désactiver le clic droit de la souris, et utiliserai
classiquement la form et ses multiples champs cachés.
Là en revanche tu as tort. Il est tout aussi facile de voir le code
source sans clic droit (Ctrl+U dans Mozilla et Firefox sur Windows,
"Affichage>Code source" dans la plupart des navigateurs), et tu vas
te mettre à dos tous tes visiteurs qui ont des zillions de trucs
intéressants à faire avec le clic droit.
Olivier Miakinen
2007-03-26 14:56:32 UTC
Permalink
Post by Olivier Miakinen
Si ces données doivent être cachées, pourquoi ne pas les chiffrer ?
Selon le degré de confidentialité cherché, un simple masquage par XOR
pourrait suffire.
Pardon, je viens de réaliser (surtout en lisant la réponse de Michael)
que tu n'as pas accès à ce qui se passe sur le serveur qui est chez paypal.

Mais du coup, autre question : puisque paypal lui-même ne considère
pas ces données comme suffisamment sensibles pour les cacher, pourquoi
serais-tu plus royaliste que le roi ? Si c'était vraiment un trou de
sécurité, je pense qu'on en aurait déjà entendu parler, non ?
JC_E
2007-03-26 10:07:34 UTC
Permalink
Post by Anrael
Non, Free héberge mon site avec la page permettant la saisie des données.
Le site https (paypal, soyons précis) que je désire ouvrir et à qui je veux
envoyer les data en post, est hébergé je-ne-sais-où mais pas chez Free. Chez
Paypal je suppose ^^
Il existe un systeme de cryptage chez Paypal
suivre l'aide sur leur site
--
Click here to answer / cliquez ci dessous pour me repondre
http://cerbermail.com/?ZhznliAh4V
Filip Supera
2007-03-26 10:55:58 UTC
Permalink
'jour,
Post by Anrael
Pas d'idée sinon ?
Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.
Michael DENIS
2007-03-26 13:27:47 UTC
Permalink
Le 26 Mar 2007 10:55:58 GMT, Filip Supera
Post by Filip Supera
Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.
Si j'ai bien suivi, la page de réception n'est pas sur le site de
l'auteur, et c'est tout le problème.

Sinon, il faudrait envoyer le contenu du formulaire sur une page
"interne" et pouvoir ensuite "auto-envoyer" un formulaire qui
comprendrait les données complémentaires. Mais je ne suis pas sûr que
cette étape soit possible...
--
Michaël DENIS
Filip Supera
2007-03-26 15:14:47 UTC
Permalink
Post by Michael DENIS
Le 26 Mar 2007 10:55:58 GMT, Filip Supera
Post by Filip Supera
Au lieu de stocker les données (que tu ne veux pas qu'on puisse voir)
dans des "input hidden", les mettre dans un fichier texte qui sera lu
sur le serveur à la réception des données du formulaire.
Si j'ai bien suivi, la page de réception n'est pas sur le site de
l'auteur, et c'est tout le problème.
Ah oui, c'est vrai ! En fait je suppose que si ces variables sont
visibles dans le code proposé par Paypal, c'est qu'elles ne constituent
pas un problème potentiel.
Post by Michael DENIS
Sinon, il faudrait envoyer le contenu du formulaire sur une page
"interne" et pouvoir ensuite "auto-envoyer" un formulaire qui
comprendrait les données complémentaires. Mais je ne suis pas sûr que
cette étape soit possible...
Oui, trop complexe.
Anrael
2007-04-04 22:01:10 UTC
Permalink
Hop,

merci pour toutes vos réponses.
Je vais me faire (une toute petite) violence, être raisonnable et laisser
tel quel.

Continuer la lecture sur narkive:
Loading...