quelle sécurité sur un serveur mutualisé??

[gwen189]

Bonjour,

Je souhaite mettre mon code PHP sur un serveur mutualisé. Seulement, j'ai essayé de suivre les conseils sur la sécurité, en vain.
J'ai tout d'abord essayé de sortir les bibliothèques de la racine, car il faut enlever le plus possible de l'arborescence le code. Mais, les variables doc_root, safe_mode et user_dir ne sont pas accessibles sur un serveur mutualisé.
Après, j'ai voulu mettre en place un fichier .htaccess pour protéger les répertoires sensibles. Mais, je ne veux pas avoir une fenêtre qui s'ouvre lorsqu'un utilisateur veut accéder au répertoire. J'ai donc cherché un script qui pourrait gérer cette fenêtre sans que l'utilisateur la voit. mais là, pareil, je ne trouve pas le script que je veux.

Je demande donc aux webmasters que vous êtes si vous avez des conseils en matière de sécurité, sur un serveur mutualisé, à me donner.
Que faut-il faire et ne pas faire???

Merci d'avance.

gwen

[vanvan]

Il me semble qu'il y a eu dans le misc 1 ou 2, un sujet sur la sécurisation de code pour éviter tout ce qui est injection de code en vue de hacker un site de production.

[gwen189]

je ne comprends pas ta réponse. C'est quoi misc 1 ou 2??

gwen

[gwen189]

bonjour à tous,

j'ai réglé le problème lié à .htaccess. EN fait, il faut que j'utilise l'URL login:mot_de_passe@www.le_site.fr/répertoire_protégé/
Seulement, Internet Explorer ne reconnaît pas ce lien viable.
Avez-vous une suggestion???

merci

gwen

[braouazou]

Oui c'est l'effet d'une correction de bug façon Microsoft!
Tu peux donc utiliser un autre navigateur... ça fonctionnera!

Par contre, je ne comprends plus ta question. Tu parles de sécuriser un site hébergé sur un serveur mutualisé. Jusque là c'est bon, mais si je te suis bien, ce n'est psa ton problème... Ce que tu veux, c'est ne pas faire apparaître la boite d'authentification, c'est ça?

Dans ce cas, sache que les .htaccess permettent de gérer les accès de plusieurs façons (identifiants, comme tu l'as fait, mais aussi par adresse IP - si tes clients ont une ip fixe, c'est ta solution!, etc...)

En attendant tes réponses....
@+

PS: misc est un magazine traitant de sécurité informatique

[gwen189]

bonjour,

Je ne peux pas utiliser le filtrage par le domaine du client ou par les adresses IP.
Dans le cadre de la protection sur un serveur , il est conseillé de mettre en place des fichiers .htaccess. C'est pourquoi, je travaille sur cette solution. J'ai maintenant trouvé un script qui passe la boîte de dialogue générée par .htaccess. Mais pour celà, il faut une URL du style http://login:mot_passe@www.le_site.fr/rep/
Et là Internet Explorer ne reconnaît pas ce style d'URL. Je ne veux pas me contenter des autres navigateurs, car Internet Explorer est celui le plus utilisé, je ne veux pas non plus faire afficher la boîte de dialogue, car l'application que je protège a déjà une page d'authentification, enfin je ne veux pas identifier les clients par adresse IP ou par nom de domaine.

Je cherche à savoir comment contourner ce bug chez Internet Explorer.

Merci,

gwen

[braouazou]

Si tu passes déjà par une authentification (php j'imagine?), je ne vois pas l'intérêt de rajouter une authentification par .htaccess par dessus! Ou alors tu n'es pas sûr de l'efficacité de ton script d'authentification, et dans ce cas, à ta place, je me pencherais plutôt dessus plutôt que de chercher ailleurs...

Sinon, pour info, tu as quelques façons d'intéragir entre le PHP et les variables que deviennent tes noms d'utilisateur et password issus de l'authentification par .htaccess, je ne me suis que trop peu penché dessus pour t'en dire plus, mais une recherche sur Google te permettra sans aucun doute d'y voir plus clair!

@++

[gwen189]

Pour ce qui est du choix d'utiliser .htaccess, il vient du fait qu'il faut une protection des scripts PHP. Or .htaccess est toujours conseillé sur les sites.

pour le script d'authentification, il ne sera utile qu'un temps. Mais je vais essayer de trouver comment règler le problème sous Internet Explorer.

Merci pour tout.

Si tu comprends pqoi l'url ne fonctionne pas sous Internet Explorer, celà m'aiderait beaucoup.

Gwen

[braouazou]

Je ne vois toujours pas l'intérêt mais bon... je ne susi peut-être pas réveillé

Pour ce qui est de IE, oui, comme déjà dit, cela est le résultat d'une mise à jour empêchant l'exploitation d'une faille qui a eu ce résultat malencontreux pour de nombreux utilisateurs... Si tes clients ont un IE mal patché, ils n'auront pas ce problème (sans doute d'autres...).

Fais une petite recherche dans les archives des news d'Ixus, il me semble qu'il en était question.
@+