| :: |
| Auteur |
Message |
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13354
|
 Posté le: Sam Déc 09, 2006 9:32 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Roo, je parlais de manière générale.
| dcz a écrit: |
Par exemple, si page.php est l'index
...
Le principe, appliqué dans les forum phpBB, et de créer une constante nous permettant de vérifier la provenance de l'appel au fichier à inclure.
...
Pour un forum phpBB, le dossier db/ est à traiter comme includes/, aucun accès distant.
...
ces quelques conseil valent pour tout script, et sont en générale facile à mettre en place sur des scripts de portail ou de forum existants. |
Le "GET POST PUT" dans un deny from all, c'est simplement la version longue.
La totale c'est même :
| Code: | <Limit GET POST PUT DELETE>
Order Allow,Deny
Deny from All
</Limit> |
Deny from all doit suffire, mais cela sous entend que par défaut cela s'applique à toutes les methodes GET, POST, PUT et DELETE.
Et c'est tout de même une précaution de base de ne pas trop s'appuyer sur les valeurs par défaut de script que l'on ne connais pas.
Le truc c'est :
doit suffire dans 99.99% des cas, et :
| Code: | <Limit GET POST PUT DELETE>
Order Allow,Deny
Deny from All
</Limit> |
dans 100%, avec en prime, l'assurance que si un petit malin gruge une valeur par défaut au niveau serveur, et en générale, les valeurs par défaut, ce sont tout de même des cibles privilégiés, le script la spécifiant ...
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
 |
|
|
gowap
phpBB SEO Team
Inscrit le: 07 Mai 2006
Messages: 990
|
| Posté le: Sam Déc 09, 2006 7:19 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| dcz a écrit: | | Roo, je parlais de manière générale. |
Au temps pour moi, je croyais que tu voulais rajouter une couche sur l'existant.
| Citation: | | Code: | <Limit GET POST PUT DELETE>
Order Allow,Deny
Deny from All
</Limit> |
dans 100%, avec en prime, l'assurance que si un petit malin gruge une valeur par défaut au niveau serveur, et en générale, les valeurs par défaut, ce sont tout de même des cibles privilégiés, le script la spécifiant ... |
Tu pleux expliciter un peu plus ? Je n'ai pas compris ce que tu essayais de faire passer. |
_________________
Gravure-News : la communauté francophone de la gravure de CD/DVD et son forum d'entraide. |
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13354
|
| Posté le: Dim Déc 10, 2006 6:38 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Je voulais dire que quand on met juste :
On fait appel a des valeurs par défaut dans Apache, par défaut, c'est en général tout donc GET POST PUT et DELETE, mais en spécifiant, on remet une couche.
C'est juste une bonne politique générale de bien initialiser ses variable, pas toujours évident qu'il soit possible de feinter les parametres serveurs, mais on évite le cas ou ces valeurs par défaut serveur seraient altérées.
Ahh, et je pensait à un autre truc efficace :
| Code: |
<Files config.php>
Deny from all
</Files> |
Toujours dans le .htaccess, avant :
Pour encore une fois remettre une couche sur un fichier qui contient tout de même le mot de passe de la db en clair.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
gowap
phpBB SEO Team
Inscrit le: 07 Mai 2006
Messages: 990
|
| Posté le: Mer Déc 13, 2006 12:32 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| dcz a écrit: | | on évite le cas ou ces valeurs par défaut serveur seraient altérées. |
A mon avis, si l'attaquant a réussi a passer outre/remplacer les valeurs par défaut du serveur, c'est peut etre trop tard pour un "simple" deny from all 
Quoi qu'il en soit j'adhere pleinement au concept : déclarer, initialiser, spécifier.
Sinon je recommande evidemment a tous la protection de config.php, comme dcz le stipule, et pas juste en le déplacant ( http://forum.phpbb.biz/viewtopic.php?t=84153 ) |
_________________
Gravure-News : la communauté francophone de la gravure de CD/DVD et son forum d'entraide. |
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13354
|
| Posté le: Mer Déc 13, 2006 9:26 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
C'est clair, mais s'il y a ne serait-ce qu'un cas ou il serait possible de griller la priorité au settings serveurs sans en prendre le contrôle total, ça pourrait être un dernier rempart efficace. Et cela dépends des config serveurs aussi, il doit y en avoir des plus ou moins "étanches".
Mais c'est surtout pour dire que l'initialisation des variables est un des premiers truc à faire pour sécuriser des scripts.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
Mantis
PR2
Inscrit le: 26 Oct 2006
Messages: 290
|
| Posté le: Mar Jan 09, 2007 2:34 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Salut..
Suite à une discussion avec dcz, je voudrais avoir comment on pourrait sécuriser phpBB d'avantage, par exemple en bloquant l'accès à certains fichiers importants avec un .htaccess
Je protège d'ores et déjà mon fichier config.php avec un .htaccess et je me demandais si on pouvait éventuellement protéger l'accès à d'autres fichiers importants de phpBB ? |
_________________
 |
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13354
|
|
| Revenir en haut de page |
|
|
GostSn
PR0
Inscrit le: 19 Oct 2007
Messages: 99
|
| Posté le: Lun Déc 03, 2007 9:54 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| Code: | <Files config.php>
Deny from all
</Files> |
je comprend pas vraiment le principe..
Les varibles, ne passe pas d'un serveur à un autre non?
ça fait que meme en accès distant le fichier config.php, ne retournera aucune variable car meme avec un include() le fichier arrivera interprêter, soit vierge?
donc meme si le fichier est appeller par un script sur le seveur sur lequel il est deny from all ne servira a rien?
merci de m'éclairer je croi pas avoir compris le principe.... |
|
|
| Revenir en haut de page |
|
|
Conchise
PR0
Inscrit le: 09 Jan 2008
Messages: 53
|
| Posté le: Mer Jan 09, 2008 10:59 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| GostSn a écrit: | | Code: | <Files config.php>
Deny from all
</Files> |
je comprend pas vraiment le principe..
Les varibles, ne passe pas d'un serveur à un autre non?
ça fait que meme en accès distant le fichier config.php, ne retournera aucune variable car meme avec un include() le fichier arrivera interprêter, soit vierge?
donc meme si le fichier est appeller par un script sur le seveur sur lequel il est deny from all ne servira a rien?
merci de m'éclairer je croi pas avoir compris le principe.... |
Tentative de réponse d'un utilisateur inexpérimenté :
Si je veux afficher son résultat, il arrivera vide. MAIS si je l'inclus dans un de mes scriptes php sur mon serveur distant il initialisera les variables concernant TA base de données. Il suffit alors que mon scripte me les affiche et c'est comme si tu me mailais TON config.php
Et pour un forum phpbb non modifié, le nom de ces variables est connu de tous.
Est-ce que j'ai répondu juste ? Est-ce la SEULE raison ? Si par exemple je renomme les variables de mon config.php avec des noms-barbares-impossibles-a-deviner, ai-je encore besoin de la protection par <File config.php> dans .htaccess ? |
|
|
| Revenir en haut de page |
|
|
GostSn
PR0
Inscrit le: 19 Oct 2007
Messages: 99
|
| Posté le: Jeu Jan 10, 2008 5:58 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
bah non je suis pas daccord...
si j'inclu le fichier config.php sur un serveur distant, les varriables sont perdu!
les variables ne passe pas d'un serveur a un autre! |
|
|
| Revenir en haut de page |
|
|
Conchise
PR0
Inscrit le: 09 Jan 2008
Messages: 53
|
| Posté le: Jeu Jan 10, 2008 1:41 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| Ok, j'aurai au moins essayé ! Mais alors, quel intêret j'aurais d'empêcher quelqu'un d'inclure mon config.php ? |
|
|
| Revenir en haut de page |
|
|
GostSn
PR0
Inscrit le: 19 Oct 2007
Messages: 99
|
| Posté le: Jeu Jan 10, 2008 6:42 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| Conchise a écrit: | | Ok, j'aurai au moins essayé ! Mais alors, quel intêret j'aurais d'empêcher quelqu'un d'inclure mon config.php ? |
c'est la question que je me pose lol |
|
|
| Revenir en haut de page |
|
|
Conchise
PR0
Inscrit le: 09 Jan 2008
Messages: 53
|
| Posté le: Jeu Jan 10, 2008 9:34 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Eh, bien maintenant, nous sommes deux à nous la poser !
Quelqu'un a une idée ? |
|
|
| Revenir en haut de page |
|
|
GostSn
PR0
Inscrit le: 19 Oct 2007
Messages: 99
|
| Posté le: Jeu Jan 10, 2008 9:51 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
j'ai poster ça depuis le 3déscembre et toujours pas de réponse..
super-SEO! éclaire notre lenterne stp! |
|
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13354
|
| Posté le: Dim Jan 13, 2008 2:39 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Le truc, c'est d'éviter que le contenu de config.php puisse être vu, comme il contient le code de la base de donnée en clair, c'est sensible.
De manière générale, c'est mieux de ne pas compter que sur une méthode de sécurisation de fichier, et même si cela semble redondant, ça fait toujours un rempart de plus. L'art du hacker étant de réussir à passer outre les barrières, plus il y en as, mieux c'est 
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
|
|
