[résolu] Piratage et sécurité

BberXIII81 · Message par **BberXIII81** » 26 juil. 2007, 21:50

Juste une petite question pour savoir ce que peut faire à mon site, une personne si elle introduit un fichier sur mon serveur?
Je m'explique si je laisse introduire du code dans mes pages, à mes rédacteurs, ou un fichier html dans un répertoire vide, que risque mon site?
Ce qui m'intéresse surtout c'est de savoir si elle peut modifier d'autres fichiers du site.

P.S. J'utilise pas de bases de données, pas d'informations risquées, ...

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

calimo · Message par **calimo** » 27 juil. 2007, 08:44

Ben ça dépend !

A priori, si tu laisse juste inclure du HTML, pas grand chose. Si c'est à une poignée de personnes de confiance non plus

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

BberXIII81 · Message par **BberXIII81** » 27 juil. 2007, 13:45

Donc ils ne peuvent pas modifier d'autres fichiers du serveur.
Et si j'utilise un forum Phpbb dans un répertoire qui lui est propre, peuvent-ils accéder à la bases de données où se trouve les informations des utilisateurs (mot de passe, ... )
Qu'es-ce qui est le plus sécurisé? Laisser introduire du code via un fichier ou laisser uploader un fichier dans un répertoire isolé pour l'inclure ensuite?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

Message par **Benoit** » 27 juil. 2007, 15:13

Si par inclure tu pense à une instruction include PHP, le premier évidemment ! Sinon ils peuvent mettre n'importe quel code PHP et là ils ont vraiment accès à tout sur ton serveur, base de données comprise (il suffit d'aller lire le fichier de configuration de phpbb).

Si tu laisses introduire du code que tu analyses pour enlever ce qui est dangereux (PHP et JavaScript principalement) c'est relativement moins dangereux, mais en général il vaut mieux ne permettre d'utiliser qu'une syntaxe très restreinte qui sera ensuite transformée en HTML, c'est le principe d'une syntaxe wiki ou bbcode.

Juste pour rappel, en dehors des aspects techniques il y a aussi la question de ta responsabilité de ce qui est publié sur ton site, si des gens s'amusent à y mettre du contenu illégal.

BberXIII81 · Message par **BberXIII81** » 27 juil. 2007, 15:53

En fait, j'essaye de trouver une alternative à un gestionnaire de news, qui correspondrais au design des autres pages.
Quelqu'un à une idée? Comment s'utilise le BBcode? Où puis-je trouver un tutoriel?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

BberXIII81 · Message par **BberXIII81** » 28 juil. 2007, 11:41

Comment autoriser l'insertion que de xhtml?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

calimo · Message par **calimo** » 28 juil. 2007, 18:06

BberXIII81 a écrit :Comment autoriser l'insertion que de xhtml?

Il faudrait déjà savoir comment tu comptes faire l'insertion...

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.5) Gecko/20061201 Firedragon Firefox/2.0.0.5 (Ubuntu-feisty)

BberXIII81 · Message par **BberXIII81** » 28 juil. 2007, 18:47

Qu'es-ce qui est le mieux?
De l'inclure grâce à un formulaire qui permettrais d'éditer un fichier?
Via un formulaire qui enregistrerait vers une bases de données
Ou l'upload d'un fichier, avec sur la page qui l'inclura (Php), un script désactivant autre chose que du xhtml ???
Merci

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

calimo · Message par **calimo** » 28 juil. 2007, 21:41

Le plus simple c'est l'enregistrement dans une base de données, puis un simple "print" du contenu (éventuellement quelques transformations à base d'expressions régulières si nécessaire, mais en aucun cas d'exécution). C'est ce que font la plupart des sites.
Tu devrais pouvoir t'inspirer des Wikis (par exemple wikini qui est relativement simple)

Je ne sais pas exactement ce que tu veux faire, mais tu gagnerais probablement à réutiliser ce qui existe déjà plutôt que tout recoder depuis zéro

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.5) Gecko/20061201 Firefox Firefox/2.0.0.5 (Ubuntu-feisty)

BberXIII81 · Message par **BberXIII81** » 28 juil. 2007, 22:35

Ce que je veux, c'est que mes rédacteur puisse rédiger leurs news en xhtml en respectant mes propriétés CSS et sans qu'ils puissent modifier d'autres pages (pour la base de données, c'est pas grave, j'hébergerais mon forum ailleurs si c'est un problème).
C'est pourquoi, j'évite les traditionnels gestionnaire de news.

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

BberXIII81 · Message par **BberXIII81** » 29 juil. 2007, 19:02

Donc, si j'ai plus de bases de données, je peux leur laisser intégrer n'importe quel code sans qu'ils puissent modifier autre chose que la page contenant le code???

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

calimo · Message par **calimo** » 29 juil. 2007, 19:04

Si tu n'as plus de base de données... je comprend pas trop ce que tu veux dire

Tu peux développer ? Pourquoi tu la supprimerais ?

Sinon dans Wikini (par exemple, c'est celui que je connais) tu peux aussi rédiger directement en (x)html

Message envoyé avec : Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.8.1.5) Gecko/20061201 Firemarsupilami Firefox/2.0.0.5 (Ubuntu-feisty)

BberXIII81 · Message par **BberXIII81** » 29 juil. 2007, 19:11

Les bases de données que je pourrais avoir ce sont celles de mon forum, si ça pause problème je peux l'héberger ailleurs, ça épargnera mon serveur par la même occasion.
Wikini permet de rédiger en xhtml? J'avais pas vuça quand je m'étais renseigné. Je vais retourner voir ça, merci

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

arcanis · Message par **arcanis** » 30 juil. 2007, 20:21

Je vois pas pourquoi tu n'utilise pas de bd. C'est tellement plus simple...

Ce que tu peux faire, c'est les laisser créer des fichier, mais à deux conditions:
1/ Que tu définisse par un script le nom du fichier (utilise le md5 de la date actuelle, par exemple)
2/ Que quand tu écrive les données, tu les passe d'abord par la fonction htmlentities, qui permet de ne pas prendre en compte les balises html (et donc pas de javascript)

Si les personnes qui écrivent ont vraiment ta confiance, alors tu peux passer la deuxième condition, mais ce sera plus risqué. Si ils décident de pourrir ton site, ils auront juste à rajouter un div avec une hauteur et une largeur de 100%.
Perso, si tu veux vraiment leur permettre d'utiliser certaines balises, j'utiliserais une intégration php du bbcode (y en a plein sur le net).

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.4) Gecko/20070515 Firefox/2.0.0.4

Invité · Message par **Invité** » 30 juil. 2007, 20:45

"htmlentities", voilà ce qu'il me faut!! Je m'en souvenez plus.
Comment coupler

Code : Tout sélectionner

htmlentities

et

Code : Tout sélectionner

<?php include ('fichier.html'); ?>

?

P.S. "htmlentities" n'autorise que le html, y aurait-il un équivalent pour xhtml?

Message envoyé avec : Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.1.5) Gecko/20070713 Firefox/2.0.0.5

Geckozone

[résolu] Piratage et sécurité

[résolu] Piratage et sécurité

Qui est en ligne ?