Joomladay francophone 2018 à Paris 18 et 19 mai

Sécuriser jSecure

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Sécuriser jSecure

    Bonjour

    Je viens de lire un article très intéressant sur jSecure, il pointe notamment les faiblesses de ce plug-in qui peuvent rendre votre site d'autant plus vulnérable !

    Pour les non anglophones voici un résumé des modifications à effectuer sur le plug-in :

    1-Supprimer le fichier readme qui est toujours installé ainsi :
    http://www.votresite.com/plugins/sys...e.jsecure.html

    2-Renommer les fichier jsecure.php et jsecure.xml (attention de bien modifier les noms dans le contenu de ces fichiers, sinon le plug-in ne marchera plus)

    3- Personnaliser votre fichier 404.html : Optez pour un nouveau fichier avec un graphisme différent. Le fichier de base contient une balise meta qui indique clairement que vous utilisez jsecure (<meta name="Generator" content="jSecure Authentication">), veillez aussi a déplacer ce fichier dans un autre répertoire.

    Voilà c'est juste un petit résumé, je vous conseille d'aller lire l'article à l'adresse suivante :
    http://www.joomlaserviceprovider.com...re-secure.html

    A bientôt

  • #2
    Hello,

    merci pour le lien, ces manips sont assez faciles à réaliser et semble assez logique

    Reste la question assez pertinente à la fin du thread : en trouvant et installant ce plugin et pensant ainsi que son site est sécurisé, est-que que l'on n' introduit pas finalement pas un nouveau risk?
    @mo.
    http://www.nakito.fr

    Commentaire


    • #3
      Bonjour,

      Doit on effectuer les modification de nom de fichier avant installation ou après ?

      merci

      Commentaire


      • #4
        Envoyé par Lazlo Voir le message
        Bonjour
        2-Renommer les fichier jsecure.php et jsecure.xml (attention de bien modifier les noms dans le contenu de ces fichiers, sinon le plug-in ne marchera plus)
        je ne vois pas les noms a modifier dans les contenus ???

        est ce ceci ? :

        dans jsecure.xml
        Code PHP:
        <filename plugin="jsecure">jsecure.php</filename
        dans jescure.php
        Code PHP:
        $plugin =& JPluginHelper::getPlugin'system''jsecure' ); 
        Si oui est ce le seul contenu à modifier ?

        Merci pour votre aide

        Commentaire


        • #5
          Bonjour,
          j'ai lu l'article...

          1. si j'ai bien suivi il faut cacher tout pour ne pas que les méchants sachent que Jsecure est là. Bon, mais si je reconnais un site Joomla (source de la page, présence de qq dossiers reconnaissables) et que /administrator me renvoie sur un 404 ou assimilé, il y a du Jsecure derrière à 99,9%.

          2. Le plus rigolo est quand il dit de planquer la doc qui indique "pas de chiffres" et peut donc aider les hackers à limiter leurs recherches. Mais pour voir la page, il faut connaître son url, et une fois que le mec a identifié Jsecure et qu'il a décidé de rentrer par là, il ne devrait pas avoir trop de mal à récuper l'extension complète y commpris sa page d'aide pour l'étudier à loisir.

          3. les deux "failles" pointées dedans sont basées sur des instructions linux ou SQL. Une fois que le gars sait arriver jusque là, Jsecure devrait-être le cadet de ses soucis.

          Donc : je suis sceptique...
          Schtroumpfe toi le Schtroumpf t'aidera.
          Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

          Commentaire


          • #6
            Bon effectivement Jsecure reste identifiable. (etre viré sur une 404.html)
            j ai renommé les fichier .php et .xml
            le plugin s'est bien installé et j ai caché la page 404 html

            Tout fonctionne ... ça devrait retarder 5 mn de plus ... c'est toujours ça de pris.



            merci a Lazlo pour ce petit plus
            merci a Grand Schtroumpf pour dédramatiser ce genre de situation

            +++

            Commentaire


            • #7
              Quel est l'interet d'installer JSecure alors ?? je sais que la securite 100% n'existe pas, mais si c'est pour retarder un petit peu le pirate, je vois pas l'interet de rajouter JSecure. Certaines methodes de securite bloqueront certain pirate, mais la ca n'en bloquera aucun, ca les ralentira seulement. Le site sera quand meme pirate. Perso je prefere une methode qui bloque certain pirate. Ca diminura le nombre de blaireau qui ferai mieux de pirater d'autre site et que ca soit utile (mais la c'est un autres debat ).
              Mon site de photos du Pays Basque : nenex-argazkia.net

              Commentaire


              • #8
                Bonjour,
                Quel est l'interet d'installer JSecure alors ??
                Quel est l'intérêt de mettre une serrure puisqu'elles sont toutes crochetables ? Pourtant sur as une serrure sur ta porte ?
                Schtroumpfe toi le Schtroumpf t'aidera.
                Je ne schtroumpfe pas aux demandes de schtroumpf par MP.

                Commentaire


                • #9
                  c'est sur que ma phrase sortie de son contexte, j'aurai fait la meme reponse a ta place... mais entre une serrure qui peut etre crochetable pas tous les cambrioleur et une autre qui ne peut l'etre que par certain, je prefere la seconde (je sais que le 100% securite n'existe pas). Car meme si je gagne 5mn avec certain, ceux la arriverons quand meme a la crocheter. Donc autant avoir une serrure qui ellimine certain cambrioleur.
                  Mon site de photos du Pays Basque : nenex-argazkia.net

                  Commentaire


                  • #10
                    On sait que la plupart des tentatives sont faites par des novices qui ce lance de le hacking et essayent de ce faire un nom!
                    Si ça ne marche pas sur ton site, ils seront plus vite découragé. La plupart auront trouvé comment faire dans un howto d'un hacker qui indique la procédure sans verrou et ne seront pas aller plus loin!

                    Maintenant avec ce poste dans ce forum, en cherchant jsecure sur google, ils risquent de tomber sur l'info

                    Allez je sors
                    Règlement du forum : http://forum.joomla.fr/faq.php
                    Comment mettre le post en [Réglé]: http://forum.joomla.fr/announcement.php?f=58
                    Joomla! 3 Le Livre Pour Tous , n'hésitez pas à le lire pour vous aider
                    http://www.iwannaclick.org

                    Commentaire


                    • #11
                      Mais voila le risque 0% est impossible.

                      Donc il y as aussi une solutions si vous voulez baisser la criminalité informatique et de déposer une plainte au prêt de votre poste de Gendarmerie le plus proche.

                      Car Hacké en site c'est aussi punissable par la loi.

                      Si beaucoup de monde déposerait aussi des plaintes ben la criminalité diminueras également mais le risque 0% seras jamais atteint quand même !

                      Mais quand plusieurs Hacker et les pirates serons pris par la justice avec une peine avec amande ou voir prisons (récidiviste), il réfléchirons à deux fois et cela aideras à diminuer le pourcentage.

                      En dépôt de plaintes est gratuites Mesdames, Messieurs.

                      Voila car mettre que des protections c'est une chose mais cela ne les arrêteras aucunement si il y as plainte certain comprendrons leur douleurs et arrêteront et d'autre seront des récidivistes à qui cela leur couteras encore plus chère financièrement et dans leur CV.....

                      Comme je le dit les deux chose sont compatible (Protection du site et dépôt de plainte..)

                      Cordialement

                      Patricia

                      Commentaire


                      • #12
                        J'ai suivi ce post avec intérêt mais voici mon problème :j'ai installé Jsecure sur un site que je gère en super administrateur et mon client lui le gère en administrateur (rien de plus normal) le souci c'est qu'il peut changer le mot de passe ?xxxxx et du coup m'interdire l'accès à l'admin.
                        Alors Jsecure est-il vraiment indispensable ?
                        Beaucoup remercier signifie secrètement demander davantage.

                        Commentaire


                        • #13
                          Bonjour,

                          JSecure n'est pas indispensable, il ne s'agit que d'un système visant à pouvoir retarder un peu une intrusion.
                          Pas de demande de support par MP.
                          S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                          Commentaire


                          • #14
                            Envoyé par Grand Schtroumpf Voir le message
                            3. les deux "failles" pointées dedans sont basées sur des instructions linux ou SQL. Une fois que le gars sait arriver jusque là, Jsecure devrait-être le cadet de ses soucis.

                            Donc : je suis sceptique...
                            Ton scepticisme est parfaitement justifié. Un intrus ayant compromis un serveur Unix (Linux ou autre) se moque parfaitement d'un JSecure puisqu'il a en main tout ce qu'il lui faut dans le système, et bien plus que ce que JSecure cherche à plus ou moins protéger.

                            JSecure protège, si on veut, mais que du cracker du dimanche.

                            @patricia_b:
                            Effectivement, déposer des plaintes est également nécessaire, mais hélas, il est vraiment très rare qu'elles aboutissent, la plupart des intrus provenant de l'étranger, de pays où l'intrusion dans les système est un sport national. Celà fait des années qu'avec les White Hats, on tente de faire fermer et condamner certains sites russes connus, sans autre résultat qu'une montagne de dossiers.
                            Pas de demande de support par MP.
                            S'il n'y a pas de solution, c'est qu'il n'y a pas de problème (Devise Shadok)

                            Commentaire


                            • #15
                              Envoyé par jisse03 Voir le message
                              Effectivement, déposer des plaintes est également nécessaire,
                              ...et une bien belle utopie ! Déjà c'est le Procureur de la République qui décide de l'opportunité des poursuites pénales et quand bien même, on obtiendrait un jugement de condamnation à l'encontre d'un pirate, comment le faire exécuter (le jugement, pas le pirate !) en chine, en russie ou ailleurs ....
                              Même les greffes des tribunaux reconnaissent que c'est mission impossible.

                              Commentaire

                              Annonce

                              Réduire
                              1 sur 2 < >

                              C'est [Réglé] et on n'en parle plus ?

                              A quoi ça sert ?
                              La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                              Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                              Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                              Comment ajouter la mention [Réglé] à votre discussion ?
                              1 - Aller sur votre discussion et éditer votre premier message :


                              2 - Cliquer sur la liste déroulante Préfixe.

                              3 - Choisir le préfixe [Réglé].


                              4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                              2 sur 2 < >

                              Assistance au forum - Outil de publication d'infos de votre site

                              Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                              Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                              Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                              UTILISER À VOS PROPRES RISQUES :
                              L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                              Problèmes connus :
                              FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                              Installation :

                              1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                              Archive zip : https://github.com/AFUJ/FPA/zipball/master

                              2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                              3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                              4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                              5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                              6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                              et remplacer www. votresite .com par votre nom de domaine


                              Exemples:
                              Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/
                              Pour executer le script: http://www..com/fpa-fr.php

                              Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                              Télécharger le script fpa-fr.php dans: /public_html/cms/
                              Pour executer le script: http://www..com/cms/fpa-fr.php

                              En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                              Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                              Voir plus
                              Voir moins
                              Travaille ...
                              X