quelle sécurité sur un serveur mutualisé??

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

quelle sécurité sur un serveur mutualisé??

Messagepar gwen189 » 15 Juin 2004 12:05

Bonjour,

Je souhaite mettre mon code PHP sur un serveur mutualisé. Seulement, j'ai essayé de suivre les conseils sur la sécurité, en vain.
J'ai tout d'abord essayé de sortir les bibliothèques de la racine, car il faut enlever le plus possible de l'arborescence le code. Mais, les variables doc_root, safe_mode et user_dir ne sont pas accessibles sur un serveur mutualisé.
Après, j'ai voulu mettre en place un fichier .htaccess pour protéger les répertoires sensibles. Mais, je ne veux pas avoir une fenêtre qui s'ouvre lorsqu'un utilisateur veut accéder au répertoire. J'ai donc cherché un script qui pourrait gérer cette fenêtre sans que l'utilisateur la voit. mais là, pareil, je ne trouve pas le script que je veux.

Je demande donc aux webmasters que vous êtes si vous avez des conseils en matière de sécurité, sur un serveur mutualisé, à me donner.
Que faut-il faire et ne pas faire???

Merci d'avance.

gwen
gwen189
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Juin 2004 12:02

Messagepar vanvan » 15 Juin 2004 12:20

Il me semble qu'il y a eu dans le misc 1 ou 2, un sujet sur la sécurisation de code pour éviter tout ce qui est injection de code en vue de hacker un site de production.
"Conduire semble un peu compliqué mais après avoir essayé 271 fois d'avoir l'oral qu'ai-je à craindre?", a-t-il philosophé.
Fri April 15, 2005, Seo San-moon
Avatar de l’utilisateur
vanvan
Amiral
Amiral
 
Messages: 1270
Inscrit le: 14 Mars 2003 01:00
Localisation: la roche sur yon / nantes

quelle sécurité sur un serveur mutualisé?

Messagepar gwen189 » 15 Juin 2004 16:35

je ne comprends pas ta réponse. C'est quoi misc 1 ou 2??

gwen
gwen189
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Juin 2004 12:02

quelle sécurité pour un serveur mutualisé??

Messagepar gwen189 » 16 Juin 2004 11:38

bonjour à tous,

j'ai réglé le problème lié à .htaccess. EN fait, il faut que j'utilise l'URL login:mot_de_passe@www.le_site.fr/répertoire_protégé/
Seulement, Internet Explorer ne reconnaît pas ce lien viable.
Avez-vous une suggestion???

merci

gwen
gwen189
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Juin 2004 12:02

Messagepar braouazou » 16 Juin 2004 11:50

Oui c'est l'effet d'une correction de bug façon Microsoft! :-(
Tu peux donc utiliser un autre navigateur... ça fonctionnera!

Par contre, je ne comprends plus ta question. Tu parles de sécuriser un site hébergé sur un serveur mutualisé. Jusque là c'est bon, mais si je te suis bien, ce n'est psa ton problème... Ce que tu veux, c'est ne pas faire apparaître la boite d'authentification, c'est ça?

Dans ce cas, sache que les .htaccess permettent de gérer les accès de plusieurs façons (identifiants, comme tu l'as fait, mais aussi par adresse IP - si tes clients ont une ip fixe, c'est ta solution!, etc...)

En attendant tes réponses....
@+

PS: misc est un magazine traitant de sécurité informatique ;-)
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

quelle sécurité pour un serveur mutualisé??

Messagepar gwen189 » 16 Juin 2004 12:29

bonjour,

Je ne peux pas utiliser le filtrage par le domaine du client ou par les adresses IP.
Dans le cadre de la protection sur un serveur , il est conseillé de mettre en place des fichiers .htaccess. C'est pourquoi, je travaille sur cette solution. J'ai maintenant trouvé un script qui passe la boîte de dialogue générée par .htaccess. Mais pour celà, il faut une URL du style http://login:mot_passe@www.le_site.fr/rep/
Et là Internet Explorer ne reconnaît pas ce style d'URL. Je ne veux pas me contenter des autres navigateurs, car Internet Explorer est celui le plus utilisé, je ne veux pas non plus faire afficher la boîte de dialogue, car l'application que je protège a déjà une page d'authentification, enfin je ne veux pas identifier les clients par adresse IP ou par nom de domaine.

Je cherche à savoir comment contourner ce bug chez Internet Explorer.

Merci,

gwen
gwen189
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Juin 2004 12:02

Messagepar braouazou » 16 Juin 2004 13:09

Si tu passes déjà par une authentification (php j'imagine?), je ne vois pas l'intérêt de rajouter une authentification par .htaccess par dessus! Ou alors tu n'es pas sûr de l'efficacité de ton script d'authentification, et dans ce cas, à ta place, je me pencherais plutôt dessus plutôt que de chercher ailleurs...

Sinon, pour info, tu as quelques façons d'intéragir entre le PHP et les variables que deviennent tes noms d'utilisateur et password issus de l'authentification par .htaccess, je ne me suis que trop peu penché dessus pour t'en dire plus, mais une recherche sur Google te permettra sans aucun doute d'y voir plus clair!

@++
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!

quelle sécurité sur un serveur mutualisé?

Messagepar gwen189 » 16 Juin 2004 14:31

Pour ce qui est du choix d'utiliser .htaccess, il vient du fait qu'il faut une protection des scripts PHP. Or .htaccess est toujours conseillé sur les sites.

pour le script d'authentification, il ne sera utile qu'un temps. Mais je vais essayer de trouver comment règler le problème sous Internet Explorer.

Merci pour tout.

Si tu comprends pqoi l'url ne fonctionne pas sous Internet Explorer, celà m'aiderait beaucoup.

Gwen
gwen189
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Juin 2004 12:02

Messagepar braouazou » 16 Juin 2004 15:02

Je ne vois toujours pas l'intérêt mais bon... je ne susi peut-être pas réveillé ;-)

Pour ce qui est de IE, oui, comme déjà dit, cela est le résultat d'une mise à jour empêchant l'exploitation d'une faille qui a eu ce résultat malencontreux pour de nombreux utilisateurs... Si tes clients ont un IE mal patché, ils n'auront pas ce problème (sans doute d'autres...).

Fais une petite recherche dans les archives des news d'Ixus, il me semble qu'il en était question.
@+
Avatar de l’utilisateur
braouazou
Amiral
Amiral
 
Messages: 1290
Inscrit le: 26 Fév 2003 01:00
Localisation: Dans les Vosges, au milieu des sapins!


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron