| |
|
| :: |
| Auteur |
Message |
gowap
phpBB SEO Team
Inscrit le: 07 Mai 2006
Messages: 999
|
 Posté le: Dim Oct 22, 2006 1:04 pm Sujet du message: Les mods pour securiser phpBB |
|
|
| yann91 a écrit: | | CrackerTracker qui est un mod permettant de sécuriser son forum. |
moi je dirais plutot : "un mod qui permet de croire que son forum est sécurisé".
Tout n'est pas mauvais, mais il ne faut pas prendre ce truc pour la panacée, qui donne un faux sentiment de sécurité en affichant des dizaines et des dizaines de tentatives de hack qu'il aurait lui bloqué.
voir a ce sujet ce post ci sur le forum anglais :
http://boards.phpbb-seo.com/security/discussions-vt322.html
[MOD] suite de http://forums.phpbb-seo.com/le-forum-phpbb/discussions-vt306.html [/MOD] |
_________________
Gravure-News : la communauté francophone de la gravure de CD/DVD et son forum d'entraide. |
|
| Revenir en haut de page |
|
 |
|
|
yann91
Inscrit le: 21 Oct 2006
Messages: 19
|
| Posté le: Dim Oct 22, 2006 1:25 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| gowap a écrit: | | yann91 a écrit: | | CrackerTracker qui est un mod permettant de sécuriser son forum. |
moi je dirais plutot : "un mod qui permet de croire que son forum est sécurisé".
Tout n'est pas mauvais, mais il ne faut pas prendre ce truc pour la panacée, qui donne un faux sentiment de sécurité en affichant des dizaines et des dizaines de tentatives de hack qu'il aurait lui bloqué.
voir a ce sujet ce post ci sur le forum anglais :
http://boards.phpbb-seo.com/security/discussions-vt322.html |
Ouai je sais, mais je pense qu'il apporte un plus ^^
J'ai aussi installé un mod qui s'appelle board sécurity, il à l'air assez efficace. (dispo ici: http://forums.phpbb-fr.com/viewtopic_113306.html )
Mais bon on s'écarte un peu du sujet ^^
Ps :c'est bon j'ai mis le lien du copyright ^^
Merci, @++ |
|
|
| Revenir en haut de page |
|
|
gowap
phpBB SEO Team
Inscrit le: 07 Mai 2006
Messages: 999
|
| Posté le: Dim Oct 22, 2006 2:22 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
J'ai vu ca la semaine derniere. J'aime bien la facon dont son auteur se la pète de façon incroyable.
magnifique perle :
| Citation: | maintenant ,le hacker qui utilise le mot backdoor ,est un noob ,ou un gros mito
dans le hacking une backdoor s'appelle une rootkit
c'est notre terme familier |
Ce qui moi me fait immédiatement tiquer et jette un discrédit immédiat sur son travail (bon ou mauvais)
@ dcz : tu peux fusionner ces derniers posts avec le topic dans le forum "securité", svp. |
_________________
Gravure-News : la communauté francophone de la gravure de CD/DVD et son forum d'entraide. |
|
| Revenir en haut de page |
|
|
yann91
Inscrit le: 21 Oct 2006
Messages: 19
|
| Posté le: Dim Oct 22, 2006 2:54 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
| gowap a écrit: |
J'ai vu ca la semaine derniere. J'aime bien la facon dont son auteur se la pète de façon incroyable.
magnifique perle :
| Citation: | maintenant ,le hacker qui utilise le mot backdoor ,est un noob ,ou un gros mito
dans le hacking une backdoor s'appelle une rootkit
c'est notre terme familier |
Ce qui moi me fait immédiatement tiquer et jette un discrédit immédiat sur son travail (bon ou mauvais)
@ dcz : tu peux fusionner ces derniers posts avec le topic dans le forum "securité", svp. |
Mdr surtout que quand il dit ça il répond à mon message.
Ya t-il d'autre bon mods qui permettent de renforcer encore la sécurité ? |
|
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13607
|
| Posté le: Dim Oct 22, 2006 3:36 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
En fait, je le connaissait pas celui la, board security, mais en y regardant de plus prêt, c'est pas vraiment aussi efficace que les commentaire de l'auteur :
| Citation: | | MOD Description: Ce MOD va bloquer tout types d' intrusions pirates et repertorier les attaques dans un logfile |
Je veux dire, c'est bien beau de filtrer des paramètres dans les URLs, mais c'est pas common.php qui y est vulnérable, en fait c'est quand on réussit à ne pas passer par common.php que les choses sont plus simples, donc, assez inutile je dirais.
En plus il se fait avoir par un simple proxy sur l'ip, donc les logs ...
Bien lourd pour pas grand choses tout ça.
Faire ce genre de chose n'a d'intérêt que si on le fait sur tout le site, et de préférence sans utiliser php.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
yann91
Inscrit le: 21 Oct 2006
Messages: 19
|
| Posté le: Dim Oct 22, 2006 3:46 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Merci de l'info.
Je vais peut être le désinstaller c'est vrai que l'admin se vente beaucoup.
Ya t-il d'autre mods ou astuces ? |
|
|
| Revenir en haut de page |
|
|
Personne
PR4
Inscrit le: 30 Oct 2006
Messages: 485
|
| Posté le: Ven Déc 08, 2006 8:50 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
dans la lignée...
Je pose quelque questions aussi sur la sécurisation de mon forum :
Existe t'il un moyen simple de sécuriser son forum pour empecher le quéqué de base de tout bousiller ?
(je pense que le hacker confirmé à autre chose à faire que venir truffer mon pov petit forum)
Ou faut-il uniquement compter sur les sauvegardes perso et backup de l'hebergeur ?
Que faut-il absolument sécuriser ?
Merci m'sieurs  |
|
|
| Revenir en haut de page |
|
|
rogerlebouledogue
phpBB SEO Team
Inscrit le: 22 Juil 2006
Messages: 354
Localisation: Belle-Ile (56)
|
| Posté le: Ven Déc 08, 2006 10:27 am Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Un .htaccess dans ton dossier admin pour bloquer l'accès avec un nom d'utilisateur et mot de passe !
Toujours un petit plus ... 
@+.  |
_________________
Le forum de Rogerlebouledogue |
|
| Revenir en haut de page |
|
|
Personne
PR4
Inscrit le: 30 Oct 2006
Messages: 485
|
| Posté le: Ven Déc 08, 2006 1:17 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Ok je vais chercher comment faire ça
je lisais par ci par là de protéger le dossier config.php sur la racine ; y'a un intérêt ? |
|
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13607
|
| Posté le: Ven Déc 08, 2006 2:03 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Faudrait approfondir, ce qui va être fait bientôt, mais comme début quelques conseils de sécurité :
Tout d'abord, séparer et regrouper les fichier php appelés par includes dans un dossier dédié (includes/ pour l'exemple), et faire en sorte de rendre tout accès distant impossible tant aux fichiers qu'au dossier includes/.
Le principe, c'est que seul les fichiers utilisé dans les URLs du site doivent pouvoir être accessibles.
Par exemple, si page.php est l'index et que page.php?page=xx construit toutes les autres pages du site, page.php est le seul fichier qui devrait être accessible par les navigateurs.
Imaginons que page.php fasse des includes, il faut alors placer ces fichiers dans un dossier séparé, includes/.
Il faut ensuite que -www.example.com/includes/inc.php soit impossible, non pas que ce soit toujours nécessaire, car cela dépend de ce qui se trouve dans inc.php, mais c'est une bonne habitude, et une précaution globale très efficace.
Pour bloquer tout types d'accès distant pour tous les fichiers du dossier, le serveur Apache nous permet d'utiliser un .htaccess que nous placerons dans le dossier includes/. Le .htaccess doit contenir :
| Code: | <Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit> |
Avec ça -www.example.com/includes/*.* donne :
| Citation: | Forbidden
You don't have permission to access /forums/includes on this server. |
Accès interdit. Ce qui n'empêche nullement le bon déroulement des includes, réalisés en interne.
En complément, il est bon de limiter l'accès direct au fichiers, c'est redondant, mais pareil, c'est une bonne habitude, et cela nous évite de mettre tout nos oeufs dans le même panier.
Nous venons de limiter l'accès distant au niveau serveur, nous allons demander la même chose à PHP.
Le principe, appliqué dans les forum phpBB, et de créer une constante nous permettant de vérifier la provenance de l'appel au fichier à inclure.
Dans page.php, il faudrait ajouter à la toute première ligne :
| Code: | | define('IN_SITE', TRUE); |
Pour ensuite ajouter au tout début de chacune des fichiers du dossier includes :
| Code: | if ( !defined('IN_SITE') ) {
die('message');
} |
Ou "message" peut être remplacer par un vrai message
De cette façon, les fichiers includes ne peuvent être exécutés que s'il sont appelés depuis un script local ayant définit la constante IN_SITE.
Il faut bien entendu que page.php s'occupe de filtrer toutes les variables qu'elle va récupérer avant de s'en servir.
Ensuite, pour les scripts d'administration, le principe est le même, regrouper le tout dans un dossier (admin/ pour l'exemple) et limiter l'accès distant. Dans ce cas, on ne peut pas tout interdire, car il sont bien censé être accessibles par l'admin.
C'est la qu'une autentification serveur avec un .htaccess et un .htpasswd est utile. Les scripts d'administration de site ont en générale leur propre méthode d'authentification, il s'agit encore une fois de miser sur une combinaison entre serveur et PHP.
Si vous avez une IP statique sur le lieux ou vous administrez votre site, il est intéressant de limiter l'accès à cette ip uniquement. Cela élève encore le niveau de sécurité sans ajouter de mot de passe.
Il suffirait d'ajouter :
| Code: | Satisfy any
Order Deny,Allow
Allow from xxx.xxx.xxx.xxx
Deny from all |
dans le .htaccess du dossier admin/. Notez qu'il peut y avoir plus d'une ip dans la liste.
Comme ça, si par mégarde quelqu'un de mal intentionné tombait sur le mot de passe admin, réussisse à passer outre l'authentification serveur, il faudrait encore qu'il vous cambriole pour pouvoir accéder au dossier avec votre ip 
Pour un forum phpBB, le dossier db/ est à traiter comme includes/, aucun accès distant.
Voilà pour un début, je n'ai pas abordé le filtrage des variable en entrée de script, le sujet est vaste, mais ces quelques conseil valent pour tout script, et sont en générale facile à mettre en place sur des scripts de portail ou de forum existants.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
Personne
PR4
Inscrit le: 30 Oct 2006
Messages: 485
|
| Posté le: Ven Déc 08, 2006 3:11 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Ok merci
je vais essayer d'ingérer et digérer tout ça !
Malheureusement moi si y'a pas un mode d'emploi qui ressemble à un install.txt je ressemble à un fusil sans cartouche...
Oui je sais je suis un tromblon... mais y'a 2 mois php pour moi c'était une sorte de drogue...  |
|
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13607
|
|
| Revenir en haut de page |
|
|
rogerlebouledogue
phpBB SEO Team
Inscrit le: 22 Juil 2006
Messages: 354
Localisation: Belle-Ile (56)
|
| Posté le: Ven Déc 08, 2006 4:03 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
Merci dcz pour les détails, je n'avais pas sécurisé le dossier include et db, va falloir que je le fasse ...
@+. |
_________________
Le forum de Rogerlebouledogue |
|
| Revenir en haut de page |
|
|
dcz
Administrateur - Site Admin
Inscrit le: 28 Avr 2006
Messages: 13607
|
| Posté le: Ven Déc 08, 2006 4:11 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
C'est pas vraiment une obligation au départ, mais cela peut sauver le forum si par exemple on avait installé un vieux mod ajoutant des fichiers peut ou pas sécurisés dans le dossier includes/.
Pour le dossier admin, deux mots de passe différent, c'est tout de même mieux, une unique ip encore plus.
Si non, il y a aussi un mod pour utiliser des connexion beaucoup plus sécurisées pour l'admin, et plus : LDAP Auth MOD (phpBB) , mais il faut pouvoir toucher un peut à la config serveur si LDAP n'est pas installé.
Le truc, c'est l'accès distant n'étant pas requis, il n'y a pas de raisons de le laisser pour rien.
++ |
_________________
Useful links :
SEO Forum || SEO Directory || SEO phpBB || SEO phpBB3 || Search
____________________
Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Référencement phpBB3 || Recherche |
|
| Revenir en haut de page |
|
|
gowap
phpBB SEO Team
Inscrit le: 07 Mai 2006
Messages: 999
|
| Posté le: Ven Déc 08, 2006 11:58 pm Sujet du message: Re: Les mods pour securiser phpBB |
|
|
2 interrogations :
| dcz a écrit: | | Code: | <Limit GET POST PUT>
Order Allow,Deny
Deny from All
</Limit> |
|
Quelle utilité/necessité pour "GET POST PUT" ?
Je maitrise pas spécialement, mais du order/deny "seul" ne fonctionne pas ? (n'existe pas ?)
| Citation: | Nous venons de limiter l'accès distant au niveau serveur, nous allons demander la même chose à PHP.
Dans page.php, il faudrait ajouter à la toute première ligne :
| Code: | | define('IN_SITE', TRUE); |
Pour ensuite ajouter au tout début de chacune des fichiers du dossier includes :
| Code: | if ( !defined('IN_SITE') ) {
die('message');
} |
|
Meme question : de quoi veux tu te protéger en faisant ca ?
A part empecher qu'un script non phpBB sur ton serveur utilises via include des fichiers phpBB (or pour ca, il ya deja 'IN_PHPBB') |
_________________
Gravure-News : la communauté francophone de la gravure de CD/DVD et son forum d'entraide. |
|
| Revenir en haut de page |
|
|
|
|
| Navigation |
Autres sujets de discussion |
|
|
|
|
|
|
|
