Protéger sa base de donnée

[skieur]

Bonjour,

je pense que je vais étudier la possibilité de faire un mod pour coder les adresses mail dans la base de donnée phpBB3. Un simple masque tout bête par octet.

Est ce quelqu'un connait la liste des fichier qui fait appel, aux adresses mails dans la bdd ?

Ou bien est ce qu'il faut que je cherche tout seul ?

Merci a plus.

[hawk88]

Bonjour,

a mon avis tu vas t'embêter pour pas grand chose au final. Tu le fais je suppose au cas ou tu te fais hacker pour pas que les gens puisse utiliser les mails et "spammer" par exemple ?

Rien que dans includes/function_user.php l'appel a user_email est pas mal présente

Donc il fuat aussi voir du coté du profil, dans l'acp ...

[skieur]

Bonjour,

merci de ta réponse

[SeO]

Je ne suis pas sûr que ça en vaille la peine, à moins que tu ne caches les email des profiles pour les membres enregistrés, il n'y a pas besoin de hacker phpBB pour tous les récupérer.

Restreindre l'acp à ton ip si elle est fixe est une assez bonne précaution par contre, comme ça, si on te choppe ton mdp admin, il faut en plus te cambrioler pour s'en servir (ou être vraiment un bon hacker)

Pour les modo, on pourrait imaginer de faire pareil avec un champ perso dans leur profile qui donnerait la ou les ip autorisées pour chacun

Passé les quelques trucs comme les filtres par ip ou la redondance de login par .htpasswd pour les mot de passe perdus ou volés, l'idée pour la sécurisation d'un site, c'est d'éviter les script kiddies utilisant des failles triviales et connues, en général, maintenir ses scripts à jour suffit pour ça.

Parce que si un vrai hacker décide d'enter ou de faire tomber ton site, il le fera, mais combien de vrai hacker ont vraiment intérêt à le faire sur ton site, c'est la vrai question.
Ça ne prouve pas grand chose d'utiliser une faille connue sur un site pas maintenu à jour.
Cela fait vraiment un baille que phpBB.com n'as pas été hacké, et encore, la dernière fois, c'était à cause de awstats il me semble, LA faille c'est les mods limites et les défaut de MAJ

[skieur]

Bonjour,

je suis d'accord avec toi sauf que la le hacker il les a tous d'un coup

Et puis à priroi il ne peut pas récupérer ceux qui cache leur email en ligne sans hacker phpBB .

[SeO]

Dans ton cas, je doute franchement que l'intrus soit l'auteur de toolkit de hack (Y'en a plein l'index de Google), et un vrai hacker n'est pas censé détruire plus que ça, en dehors des cas ou la motivations personnelles (ou politiques) entre en jeux, mais plus dévoiler des failles sur des systèmes ou des applications ou des contenus sensibles et cachés du grand publique.
C'est en tous cas ce qui a toujours été défendu par les plus grand hackers.

Ils ont même bien souvent une certaine utilité, ils font quand même progresser, même si c'est indirecte, la sécurité de nos données personnelles voir carrément celle des réseaux de défense quand ils trouvent des failles.

En tous cas, hacker ou pire détruire un phpBB "artisanal" et pas à jour ne prouve vraiment pas grand chose sur les réels compétences de l'auteur, c'est pas avec ça qu'on le fera passer pour un grand.

Ça invite tout de même a rester prudent => backups réguliers (très), au prix du GOctet, faut pas se priver

[gowap]

L'intéret de coder les adresses mail en base de données est assez limité dans la mesure ou si quelqu'un réussit a accéder a ta base de données, il y a de grandes chances qu'il ait aussi accès aux fichiers. Il pourra donc consulter ta fonction de codage/décodage et il lui suffira de l'appliquer sur ta base de données codées pour obtenir ce qu'il cherche.

[skieur]

pour gowap,


bien vu c'est vrai, peut être un codage rsa clé publique et prive alors.