Register global off et OVH

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Register global off et OVH

    Je suis chez OVH en 90GP (offre mutualisée) : Joomla 1.0.11, SMF 1.1 et SMF Bridge.

    Il n'est pas possible de positionner register global à off (du moins , c'est ce que j'ai compris à la lecture de nombreux postes).

    En conséquence, je comprends que je cours un risque.

    Pourriez-vous me préciser :
    1) si une contre-mesure est possible
    2) les risques réels encourus

    d'avance merci...
    Olivier
    Dernière édition par loliv à 15/11/2006, 13h12

  • #2
    J'ai répondu dans le forum:
    comment passer register globals à off chez OVH.
    OVH m'a donné cette info : ajouter dans le fichier .htaccess
    SetEnv REGISTER_GLOBALS 0
    et ça marche....
    http://guides.ovh.net/ConfigPhp

    Commentaire


    • #3
      Ok, merci...
      C'est récent ? J'avais fait des recherches il y a quelques temps...
      A quel endroit as-tu positionné cette ligne dans le fichier .htaccess ?
      J'utilise le fichier d'ANIMO (cf ci-dessous)

      Merci de ton aide...
      Olivier

      ##
      # @version $Id: htaccess.txt 4756 2006-08-25 16:07:11Z stingrey $
      # @package Joomla
      # @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
      # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
      # Joomla! is Free Software
      ##

      ### ajouté pour OVH
      SetEnv REGISTER_GLOBALS 0
      ###


      ################################################## ###
      # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
      #
      # The line just below this section: 'Options FollowSymLinks' may cause problems
      # with some server configurations. It is required for use of mod_rewrite, but may already
      # be set by your server administrator in a way that dissallows changing it in
      # your .htaccess file. If using it causes your server to error out, comment it out (add # to
      # beginning of line), reload your site in your browser and test your sef url's. If they work,
      # it has been set by your server administrator and you do not need it set here.
      #
      # Only use one of the two SEF sections that follow. Lines that can be uncommented
      # (and thus used) have only one #. Lines with two #'s should not be uncommented
      # In the section that you don't use, all lines should start with #
      #
      # For Standard SEF, use the standard SEF section. You can comment out
      # all of the RewriteCond lines and reduce your server's load if you
      # don't have directories in your root named 'component' or 'content'
      #
      # If you are using a 3rd Party SEF or the Core SEF solution
      # uncomment all of the lines in the '3rd Party or Core SEF' section
      #
      ################################################## ###

      ##### SOLVING PROBLEMS WITH COMPONENT URL's that don't work #####
      # SPECIAL NOTE FOR SMF USERS WHEN SMF IS INTEGRATED AND BRIDGED
      # OR ANY SITUATION WHERE A COMPONENT's URL's AREN't WORKING
      #
      # In both the 'Standard SEF', and '3rd Party or Core SEF' sections the line:
      # RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
      # May need to be uncommented. If you are running your Joomla/Mambo from
      # a subdirectory the name of the subdirectory will need to be inserted into this
      # line. For example, if your Joomla/Mambo is in a subdirectory called '/test/',
      # change this:
      # RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
      # to this:
      # RewriteCond %{REQUEST_URI} ^(/test/component/option,com) [NC,OR] ##optional - see notes##
      #
      ################################################## ###

      ## Can be commented out if causes errors, see notes above.
      #Options FollowSymLinks

      #
      # mod_rewrite in use

      RewriteEngine On


      # Uncomment following line if your webserver's URL
      # is not directly related to physical file paths.
      # Update Your Joomla/MamboDirectory (just / for root)

      RewriteBase /


      ########## Begin - Joomla! core SEF Section
      ############# Use this section if using ONLY Joomla! core SEF
      ## ALL (RewriteCond) lines in this section are only required if you actually
      ## have directories named 'content' or 'component' on your server
      ## If you do not have directories with these names, comment them out.
      #
      RewriteCond %{REQUEST_FILENAME} !-f
      RewriteCond %{REQUEST_FILENAME} !-d
      RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
      RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$ [NC]
      RewriteRule ^(content/|component/) index.php
      #
      ########## End - Joomla! core SEF Section



      ########## Begin - 3rd Party SEF Section
      ############# Use this section if you are using a 3rd party (Non Joomla! core) SEF extension - e.g. OpenSEF, 404_SEF, 404SEFx, SEF Advance, etc
      #
      #RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
      #RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$ [NC]
      #RewriteCond %{REQUEST_FILENAME} !-f
      #RewriteCond %{REQUEST_FILENAME} !-d
      #RewriteRule (.*) index.php
      #
      ########## End - 3rd Party SEF Section



      ########## Begin - Rewrite rules to block out some common exploits
      ## If you experience problems on your site block out the operations listed below
      ## This attempts to block the most common type of exploit `attempts` to Joomla!
      #
      # Block out any script trying to set a mosConfig value through the URL
      RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
      # Block out any script trying to base64_encode crap to send via URL
      RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
      # Block out any script that includes a <script> tag in URL
      RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
      # Block out any script trying to set a PHP GLOBALS variable via URL
      RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
      # Block out any script trying to modify a _REQUEST variable via URL
      RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
      # Send all blocked request to homepage with 403 Forbidden error!
      RewriteRule ^(.*)$ index.php [F,L]
      #
      ########## End - Rewrite rules to block out some common exploits

      Commentaire


      • #4
        Salut loliv et la suite ton problème est it réglé ?? si oui daigne le préciser au niveau de ton post comme ça la tâche est facilitée a tous ceux qui veulent donner un coup main !
        Témoignages, Formations, sur la pratique du logiciel libre sur : http://www.aveclelibre.info

        Commentaire


        • #5
          Excuse moi de ne pas avoir été clair : le problème n'est pas réglé.

          Il est possible d'intégrer la commande pour positionner register global à off (0)...
          Mais Joomla ne semble pas le prendre en compte puisque le backend indique toujours ce problème :
          "Les paramètres PHP Serveur suivants ne sont pas optimum pour la Sécurité de votre site, il vous est recommandé de les modifier:

          * Paramètre PHP register_globals est sur `ON` au lieu de `OFF`

          Vous pouvez consulter cette discussion sur le site officiel Joomla! pour plus d'informations."

          C'est pour cette raison que je propose une copie du fichier .htaccess

          Cordialement,
          Olivier

          Commentaire


          • #6
            T'as éssayé ça !!!

            Regarde ici :
            http://forum.joomla.fr/showthread.php?t=11279&page=2
            Témoignages, Formations, sur la pratique du logiciel libre sur : http://www.aveclelibre.info

            Commentaire


            • #7
              Bonjour,

              Hébergé par OVH, je confirme le post de Loliv. Le petit bout de script intégré dans le .htaccess ne résoud rien.

              Cordialement.
              La compréhension vient souvent d'une bonne lecture

              Commentaire


              • #8
                register globals et ovh

                Voilà le script que j'ai mis en ligne .(Joomla! [ 1.0.11 Stable = message en rouge très énervant )
                hébergement : 60gp. J'ai mis openSef, activé la réécriture d'URL. Tout marche.
                J'ai dû m'y prendre à plusieurs fois concernant ce fichier htaccess..
                Bon courage

                ##
                # @version $Id: htaccess.txt 4756 2006-08-25 16:07:11Z stingrey $
                # @package Joomla
                # @copyright Copyright (C) 2005 Open Source Matters. All rights reserved.
                # @license http://www.gnu.org/copyleft/gpl.html GNU/GPL
                # Joomla! is Free Software
                ##Passage register globals off
                SetEnv REGISTER_GLOBALS 0

                ################################################## ###
                # READ THIS COMPLETELY IF YOU CHOOSE TO USE THIS FILE
                #
                # The line just below this section: 'Options FollowSymLinks' may cause problems
                # with some server configurations. It is required for use of mod_rewrite, but may already
                # be set by your server administrator in a way that dissallows changing it in
                # your .htaccess file. If using it causes your server to error out, comment it out (add # to
                # beginning of line), reload your site in your browser and test your sef url's. If they work,
                # it has been set by your server administrator and you do not need it set here.
                #
                # Only use one of the two SEF sections that follow. Lines that can be uncommented
                # (and thus used) have only one #. Lines with two #'s should not be uncommented
                # In the section that you don't use, all lines should start with #
                #
                # For Standard SEF, use the standard SEF section. You can comment out
                # all of the RewriteCond lines and reduce your server's load if you
                # don't have directories in your root named 'component' or 'content'
                #
                # If you are using a 3rd Party SEF or the Core SEF solution
                # uncomment all of the lines in the '3rd Party or Core SEF' section
                #
                ################################################## ###

                ##### SOLVING PROBLEMS WITH COMPONENT URL's that don't work #####
                # SPECIAL NOTE FOR SMF USERS WHEN SMF IS INTEGRATED AND BRIDGED
                # OR ANY SITUATION WHERE A COMPONENT's URL's AREN't WORKING
                #
                # In both the 'Standard SEF', and '3rd Party or Core SEF' sections the line:
                # RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
                # May need to be uncommented. If you are running your Joomla/Mambo from
                # a subdirectory the name of the subdirectory will need to be inserted into this
                # line. For example, if your Joomla/Mambo is in a subdirectory called '/test/',
                # change this:
                # RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
                # to this:
                # RewriteCond %{REQUEST_URI} ^(/test/component/option,com) [NC,OR] ##optional - see notes##
                #
                ################################################## ###

                ## Can be commented out if causes errors, see notes above.
                #Options FollowSymLinks

                #
                # mod_rewrite in use

                RewriteEngine On


                # Uncomment following line if your webserver's URL
                # is not directly related to physical file paths.
                # Update Your Joomla/MamboDirectory (just / for root)

                RewriteBase /


                ########## Begin - Joomla! core SEF Section
                ############# Use this section if using ONLY Joomla! core SEF
                ## ALL (RewriteCond) lines in this section are only required if you actually
                ## have directories named 'content' or 'component' on your server
                ## If you do not have directories with these names, comment them out.
                #
                #RewriteCond %{REQUEST_FILENAME} !-f
                #RewriteCond %{REQUEST_FILENAME} !-d
                #RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
                #RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$ [NC]
                #RewriteRule ^(content/|component/) index.php
                #
                ########## End - Joomla! core SEF Section

                # Begin Rules for rewrite
                RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
                RewriteCond %{REQUEST_FILENAME} !.(jpg|jpeg|gif|png|css|js|pl|txt)$
                RewriteCond %{REQUEST_FILENAME} !-f
                RewriteCond %{REQUEST_FILENAME} !-d
                RewriteRule ^(.*) index.php
                # End Rules for rewrite


                ########## Begin - 3rd Party SEF Section
                ############# Use this section if you are using a 3rd party (Non Joomla! core) SEF extension - e.g. OpenSEF, 404_SEF, 404SEFx, SEF Advance, etc
                #
                #RewriteCond %{REQUEST_URI} ^(/component/option,com) [NC,OR] ##optional - see notes##
                #RewriteCond %{REQUEST_URI} (/|\.htm|\.php|\.html|/[^.]*)$ [NC]
                #RewriteCond %{REQUEST_FILENAME} !-f
                #RewriteCond %{REQUEST_FILENAME} !-d
                #RewriteRule (.*) index.php
                #
                ########## End - 3rd Party SEF Section



                ########## Begin - Rewrite rules to block out some common exploits
                ## If you experience problems on your site block out the operations listed below
                ## This attempts to block the most common type of exploit `attempts` to Joomla!
                #
                # Block out any script trying to set a mosConfig value through the URL
                RewriteCond %{QUERY_STRING} mosConfig_[a-zA-Z_]{1,21}(=|\%3D) [OR]
                # Block out any script trying to base64_encode crap to send via URL
                RewriteCond %{QUERY_STRING} base64_encode.*\(.*\) [OR]
                # Block out any script that includes a <script> tag in URL
                RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
                # Block out any script trying to set a PHP GLOBALS variable via URL
                RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
                # Block out any script trying to modify a _REQUEST variable via URL
                RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
                # Send all blocked request to homepage with 403 Forbidden error!
                RewriteRule ^(.*)$ index.php [F,L]
                #
                ########## End - Rewrite rules to block out some common exploits

                Commentaire


                • #9
                  salut,
                  j'ai cru comprendre qu'il suffisait de rajouter cette ligne au fichier htaccess mais pour moi ça ne marche pas sur mon 1000Gp de chez OVH

                  ##Passage register globals off
                  SetEnv REGISTER_GLOBALS 0

                  quelqu'un a réussi sur ce type d'hébergement ?
                  http://www.lesous-marin.org Le site du Sous-marin, association pour la promotion des musiques électroniques

                  Commentaire


                  • #10
                    Génail sofbe : ça marche !!!
                    Je suis soulagé
                    Merci...

                    Commentaire


                    • #11
                      bon ben en faite j'ai retsté ce soir et ça marche ... plus trop de raison de pas choisir OVH. C'était là la seul crainte que j'avais concernant leurs hébergement
                      http://www.lesous-marin.org Le site du Sous-marin, association pour la promotion des musiques électroniques

                      Commentaire


                      • #12
                        Il reste un gros problème avec OVH : la fiabilité et les performances de l'hébergeur...

                        Olivier

                        Commentaire


                        • #13
                          Envoyé par sofbe Voir le message
                          SetEnv REGISTER_GLOBALS 0
                          et ça marche....
                          http://guides.ovh.net/ConfigPhp
                          Merci sofbe !!!
                          Templates Joomla sur mesure & responsive http://alphadesign.fr/creation-de-sites-templates-joomla-responsive.html
                          Formations Joomla http://alphadesign.fr/services/formations-joomla.html
                          Formations Joomla conventionnées: DIF et autres formations continues.
                          Checklist SEO pour Joomla http://alphadesign.fr/joomla/checklist-seo-pour-joomla-referencement-joomla.html

                          Commentaire


                          • #14
                            Envoyé par loliv Voir le message
                            Il reste un gros problème avec OVH : la fiabilité et les performances de l'hébergeur...

                            Olivier
                            j'ai un 1000GP chez eux pour mes dev et ça va ... pas d'indisponibilité en tous cas pour cette plateforme.

                            j'ai souvenir qu'il y avait possiblité de voir l'activité des serveurs pour OVH mais je ne me rappel plus l'URL et ce que ça te dis quelque chose ?
                            http://www.lesous-marin.org Le site du Sous-marin, association pour la promotion des musiques électroniques

                            Commentaire


                            • #15
                              Bonjour,

                              Je confirme aussi.
                              Hébergé chez OVH 720 plan, ça fonctionne en suivant scrupuleusement l'ajout des lignes (indiqué plus haut dans ce post) comme le préconise sofbe.
                              Ces lignes placées ailleurs dans .htaccess : ça ne fonctionne pas.

                              Merci
                              La compréhension vient souvent d'une bonne lecture

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X