Précisions au niveau des alertes de sécurité dans l'admin

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Précisions au niveau des alertes de sécurité dans l'admin

    Il y a déjà eu quelques explications concernant les 3 nouvelles alertes (selon vos réglages) qu'on peut maintenant voir dans l'interface administration.

    Je viens de mettre en ligne un article qui reprend un peu ces réglages avec des détails sur ce que font ces fonctions, leur danger potentiel, et les divers moyens pour les désactiver.

    C'est une traduction d'un article par Hackwar, merci à lui.
    Joe
    Blog captures d'écran Joomla! 1.5:
    http://joomla15.blogspot.com

  • #2
    Bonjour,

    Envoyé par eyezberg
    Il y a déjà eu quelques explications concernant les 3 nouvelles alertes (selon vos réglages) qu'on peut maintenant voir dans l'interface administration.

    Je viens de mettre en ligne un article qui reprend un peu ces réglages avec des détails sur ce que font ces fonctions, leur danger potentiel, et les divers moyens pour les désactiver.

    C'est une traduction d'un article par Hackwar, merci à lui.
    2 corrections à apporter: dans un fichier .htaccess php_admin_flag et php_admin_value ne marchent pas. php_admin_flag et php_admin_value sont à utiliser coté serveur pour changer des valeurs accessibles seulement à l'administrateur, et ceci afin de pouvoir les changer site par site (plutot que globalement pour tous les sites présents sur une machine).

    Dans un fichier .htaccess, il faut utiliser php_flag et php_value.

    I est bien précisé dans la documentation php que des paramètres qui nécessitent l'utilisation de php_admin_flag et php_admin_value ne peuvent pas être changés dans un .htaccess (exemple: open_basedir).

    Voir ici.

    Il est d'ailleurs à noter que si votre hébergeur à forcé certains paramètres à devenir des paramètres systèmes en les initialisant avec avec php_admin_flag/php_admin_value dans ses fichiers de configurations apache, ces paramètres deviennent automatiquement non modifiables localement via un .htaccess

    Oh joie et bonheur...

    Cordialement,
    Richard.
    Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
    École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

    Commentaire


    • #3
      Merci, je relis ça..

      tu parles genre Free, ou tu ne peux rien faire en .htaccess..?
      Joe
      Blog captures d'écran Joomla! 1.5:
      http://joomla15.blogspot.com

      Commentaire


      • #4
        Envoyé par eyezberg
        Merci, je relis ça..

        tu parles genre Free, ou tu ne peux rien faire en .htaccess..?
        Free, OVH et autres sont dans une classe à part: php tourne en mode CGI/FastCGI, donc tu ne peux pas configurer php depuis le fichier .htaccess.

        On en revient toujours au mêmes problèmes des hébergeurs qui se sécurisent eux (et encore, pour certains on se demande), tout en t'interdisant tout moyen de renforcer la sécurité de ton site (.htacces ignorés, ou impossibilité de prendre en compte des php.ini locaux), et en se lavant les mains de ce qui peux arriver sur ton espace hébergé chez eux.

        Pour ceux qui se demandent quelle est la différence fondamentale entre php chargé comme un module apache, et php en mode CGI, elle est de taille:
        • En mode module apache, l'interpréteur php est chargé directement dans l'executable qui gère le site, à savoir en général apache. Ce qui veut dire que du coup, lorsque l'on veut changer des paramètres php, on le fait via le même fichier que pour les paramètres apache, c'est à dire le fichier .htaccess. Pour faire court, dans ce cas c'est un peu comme si apache "parlait" le php directement. Le corrolaire, c'est que le fichier php.ini, qui contient toujours les paramètres de démarrage de php, n'est lu qu'une fois, au démarrage de apache.
        • En mode CGI, chaque demande d'interprétation d'un script php lance un interpréteur php qui est un processus séparé d'apache. Pour reprendre l'image précédente, pour apache le php est du chinois, mais il sait, parce qu'on lui a dit (dans son fichier de configuration) ou trouver un programme qui parle le chinois courramment (l'interpréteur php). Et tout ce qu'il sait faire, c'est appeler le chinois, lui repasser le bébé (votre script) et s'en laver les mains ce n'est plus son problème. Évidemment dans ce cas, apache est incapable de comprendre si on lui mets des options de configuration php dans ses .htaccess, et donc vous renvoie une erreur dans ce cas. Il existe des moyens pourtant de reparamétrer l'interpréteur php dans ce cas, mais ce paramétrage ne peut s'effectuer que directement via le fichier de configuration de php lui même, c'est à dire un fichier php.ini. Ce php.ini est relu à chaque démarrage d'un nouveau script. Là ou ça se corse, c'est qu'il y a des règles de précédence pour ces fichiers, pour reprendre la documentation de configuration de php et surtout dans cet ordre:
          • L'endroit spécifique du module SAPI (la directive PHPIniDir d'Apache 2, l'option de la ligne de commande -cen CGI et en CLI, le paramètre php_ini en NSAPI, la variable d'environnement PHP_INI_PATH en THTTPD)
          • HKEY_LOCAL_MACHINE\SOFTWARE\PHP\IniFilePath (Base de registre de Windows)
          • La variable d'environnement PHPRC
          • Le dossier courant de travail (en CLI)
          • Le dossier du serveur web (pour les modules SAPI), ou le dossier contenant PHP (autrement dans Windows)
          • Le dossier Windows (C:\windows ou C:\winnt) (pour Windows), ou l'option de compilation --with-config-file-path lors de la compilation

          En clair et sans décodeur: si votre hébergeur a configuré le chemin d'accès au php.ini avec une option de lancement (en précisant -c /chemin/du/php.ini), toutes les autres possibilités sont ignorées.
          Par contre si votre hébergeur configure son php par un fichier php.ini qui est dans le même répertoire que l'executable apache, vous êtes sauvés, puisque le php.ini spécifié via la variable d'environnement PHPRC est lu avant, donc s'il existe il remplace celui du systeme qui ne lit même pas celui du système (d ou l'intérêt de récupérer celui de l'hébergeur pour ne modifier que ce qui doit être changé, sinon vous réinitialisez tous les paramètres de lancement de php à ceux défini par défaut lors de sa compilation...)


        Voilà, désolé pour le post encore une fois un peu technique...

        Cordialement,
        Richard.

        [Editions mineures pour des corrections d'orthographe et de frappe... Grrr, ça manque un correcteur, aux admins]
        [Re edit, parce qu'une phrase qui n'aurait pas du rester l'était pourtant, ce qui faisait un contresens.... Re Grrr...]
        Dernière édition par rcognot à 10/09/2006, 18h44
        Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
        École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

        Commentaire


        • #5
          Merci pour les infos, je m'étais déjà posé la question!
          Bravo pour la relecture et les corrections, la plupart des personnes ne prennent pas la peine j'ai parfois l'impression. Donc en effet, le correcteur serait utile
          Joe
          Blog captures d'écran Joomla! 1.5:
          http://joomla15.blogspot.com

          Commentaire


          • #6
            Envoyé par eyezberg
            Merci pour les infos, je m'étais déjà posé la question!
            Bravo pour la relecture et les corrections, la plupart des personnes ne prennent pas la peine j'ai parfois l'impression. Donc en effet, le correcteur serait utile
            Et pourtant Dieu sait si je me relis avant d'expedier le post... Je ne sais pas comment ça marche avec vBulletin, mais avec SMF ca se configure les doigts dans le nez

            Cordialement,
            Richard.
            Association d'entraide de parents de multiples: http://www.jumeaux-et-plus.fr
            École de Musique de Villers-lès-Nancy: http://www.apm-villers.org

            Commentaire


            • #7
              nickel, j'ai plus aucunes alertes dans l'admin, et en plus mon forum joomlaboard fonctionne !

              Commentaire


              • #8
                Richard, tes corrections sont transmises à l'auteur de ces conseils, j'attends sa réponse
                Joe
                Blog captures d'écran Joomla! 1.5:
                http://joomla15.blogspot.com

                Commentaire

                Annonce

                Réduire
                1 sur 2 < >

                C'est [Réglé] et on n'en parle plus ?

                A quoi ça sert ?
                La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                Comment ajouter la mention [Réglé] à votre discussion ?
                1 - Aller sur votre discussion et éditer votre premier message :


                2 - Cliquer sur la liste déroulante Préfixe.

                3 - Choisir le préfixe [Réglé].


                4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                2 sur 2 < >

                Assistance au forum - Outil de publication d'infos de votre site

                Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                UTILISER À VOS PROPRES RISQUES :
                L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                Problèmes connus :
                FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                Installation :

                1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                Archive zip : https://github.com/AFUJ/FPA/zipball/master

                2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                et remplacer www. votresite .com par votre nom de domaine


                Exemples:
                Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/
                Pour executer le script: http://www..com/fpa-fr.php

                Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                Télécharger le script fpa-fr.php dans: /public_html/cms/
                Pour executer le script: http://www..com/cms/fpa-fr.php

                En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                Voir plus
                Voir moins
                Travaille ...
                X