Je suis en train de programmer un envoi de newsletter / lettre dinfo en php/mysql. Le site internet est finalisé.
Les abonnés à cette newsletter reçoivent donc un mail au format html où il y a aussi des informations sur leur compte donc des infos confidentielles !
Je souhaiterais, au début du mail, mettre un lien intitulé « si vous ne parvenez pas a lire ce mail, cliquez ici », comme les mail que l’on voit couramment. Ce lien pointerait vers une page web ou le mail pourrait safficher
Ce mail etant confidentiel, ladresse url serait du type : http://www.mondomaine.com/mail/envoi.php?hash=ad548c5bcf44….
Avec utilisation dune chaine cryptee afin que les autres internautes ne samusent pas a triffouiller ds la barre dadresse lemail ou le pseudo de labonné, bref il y a uniquement un hash comme parametre
Le pb, cest que je ne pense pas que cette solution soit bonne !
Un internaute mal intentionne peut egalement triffouiller le hash et voir le mail correspondant a un membre du site
De plus, comment faire pour que cette page web ne soit pas referencée par les moteurs de recherche ?
je vais rester sur ma solution, à mon avis c’est securisé…
je pourrais aussi mettre une validité du lien dans le temps: par ex, la page web est visible seulement 2 semaines apres l’envoi de la newsletter…
mettre aussi les pages web dans un repertoire distinct des autres pages et interdire aux robots de referencer ce repertoire grace a une instruction ds un fichier robot.txt
Le robots.txt ça me fait peur, moi.
Affirmer à tous les pirates du monde que la page X ne doit pas être référencée… ^^
Par contre, la solution du temps est une excellente idée je trouve.
Tu peux par exemple aussi rajouter le timestamp de l’envoi du mail (donné par la fonction time()).
oui elle est meilleure pour ne pas etre referencé (mais loin d’etre ideale car si l’utilisateur efface son cookie ) mais pas pour la securité…
l’déal serait d’utiliser les sessions (ou bien un fichier .htaccess et .htpassword mis a jour dynamiquement si possible) en demandant a l’utilisateur de se logger mais je trouve ca tres penible!!! (reception d’un mail, clic pour visu sur page web + login…)
entrer le login et le passd d’utilisateur, c’est justement ce que je veux eviter!!!
et si j’utilise SSL (jamais touche, je sais pas comment ca marche et comment on met ca en place… ), niveau securite et referencement, ca serait pas la solution ideale ???
HTTPS, ça te permet de garantir à tes utilisateurs que le site qui leur parle est bien le tien et que les informations circuleront de manière sécurisée entre leur navigateur et ton site…
Je vois pas trop le rapport avec ce que tu veux faire. Bien-sûr ça peut-être mieux mais pas uniquement sur cette page (Un vrai certificat de sécurité doit être signé par des sociétés spécialisées et ça c’est cher !).
Pour moi la meilleure solution n’est pas les cookies mais comme je l’ai dit l’url contenant le login en clair et le hash, avec une limite de temps au besoin.
PS : si t’es vraiment parano, tu peux mettre plusieurs hash ^^
Mais comment la page serait référencée ?
Tu vas pas mettre les liens sur le site, tu vas les laisser dans le mail.
Au pire, si la page est référencée “naturellement” (et je vois pas comment si il n’y a aucun lien vers cette page sur ton site), il y aura pas les informations en $_GET dedans.
Sinon tu sors un algo pour hasher, crypter, … et plein d 'autres opérations sur le mail (adresse) d’origine
tu fous dans en lien dans ton mail, et tu fais marcher la fonction de hash/crypt (Ta fonction) pour comparer… Exemple:
Mon adresse: xxxxx@yyyyy.com
Le lien dans le mail:
verif.php?adresse=xxxxx@yyyyy.com&hash=0022589565447855444
La page vérif.php utilise la fonction de hash sur $_GET[‘adresse’] de l’URL que tu as crée et la compare avec $_GET[‘hash’].
Si ça correspond, OK, sinon, bah… erreur.
Je doute que le gars réussisse à retrouver ton algo de cryptage/hashage (surtout si tu utilises un Salt) s’il est un peu compliqué.
Impossible ! Le hash est un paramètre dynamique qui est fonction du mail envoyé à chaque membre. Pour être référencé, il faudrait que le hash reste statique.
Peut-être que verif.php sera référencé tout seul, sans paramètres… ou bien pas du tout.
d’accord avec toi mais c’est curieux car j’ai un autre site ou le PHPSESSID est referencé par ex! or l’identifiant de session est unique et regenere a chaque connexion pourtant tu verras que si tu tapes “phpsessid” dans google, bah ya des sites qui sont references avec…
Le moteur référence la session qu’il a eu quand il a visité le site. Elle ne correspond à aucun utilisateur.
Puisque le moteur n’aura aucun hash (tu vas pas lui envoyer un mail ?) il référencera au pire la page verif.php sans paramètres.