Pensez-vous que cela pose un problème de sécurité ?

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Pensez-vous que cela pose un problème de sécurité ?

    Bonjour, je suis en train de mettre à jour mon site vers J2.5 (recréation complète et réorganisation du Site).
    Je veux présenter un exemple de fonctionnement du plugin Ja_Typo.
    Pour celà j'ai trouvé la solution d'utiliser un wrapper du lien du bouton Ja_typo.
    Cliquez sur l'image pour l'afficher en taille normale

Nom : ja-typo.jpg 
Affichages : 1 
Taille : 101,9 Ko 
ID : 1815218
    Seulement ce lien renvoie vers l'administration, du type :
    Code HTML:
    http://www.monsite.fr/administrator/index.php?option=com_content&view=article&layout=edit&jatypo=show&editor_form=jform_articletext
    qu'en pensez-vous ? Est-ce dangereux, existe-t-il une autre solution ?
    Dernière édition par Dens à 15/03/2012, 16h07

  • #2
    Re : Pensez-vous que cela pose un problème de sécurité ?

    Salut Denis

    Je ne comprends pas le pourquoi d'un lien vers l'admin... Est-ce que tu veux que ce wrapper ne soit accessible qu'à un admin ou à tout le monde ? Je ne capte pas.

    Selon moi, le site et l'admin sont deux choses totalement différentes : aucun lien du site ne doit proposer un lien vers l'admin; le site doit être autonome et vivre sans même savoir que l'admin existe. Dans ta suggestion, tu mets cette règle à mal; est-ce pour une raison technique ?
    Christophe (cavo789)
    Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
    Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

    Commentaire


    • #3
      Re : Pensez-vous que cela pose un problème de sécurité ?

      le lien vers l'admin car le bouton ja_typo sert au niveau de l'éditeur. Donc il n'a pas (ou je n'ai pas trouvé) son pendant en public.
      Or comme je souhaite faire une démo du plugin, c'est ce que j'ai trouvé de plus rapide (ça fonctionne). Mais je me posais la question quant au risque sécuritaire.
      Dernière édition par Dens à 15/03/2012, 15h15

      Commentaire


      • #4
        Re : Pensez-vous que cela pose un problème de sécurité ?

        Cela fonctionne alors même que tu n'es pas connecté en tant qu'admin... dans l'admin ?

        Cela me paraît mal conçu : admin / site sont deux interfaces; toutes deux avec un token de sécurité totalement différents. Les actions qui sont exécutées dans l'admin devraient valider que le token est correct.

        Si c'est sur ton site, cela peut peut-être le faire, sur le site d'autres personnes, peut-être pas : le dossier /administrator pourrait être protégé par un ficheir .htpasswd et dans ce cas, impossible de faire appel à index.php de cette partie du site sans s'authentifier.

        Pour en revenir à ta question de sécurité (en supposant que cela fonctionne donc sur ton site); perso, je ne vois pas de problème. En tout cas, aucun ne me vient à l'esprit. La seule chose à laquelle je pense c'est que tu dévoiles l'url de ton admin (pour qui viendrait scanner les liens de ta page front), pourrait voir quels sont les paramètres transmis et pourrait tenter de faire du brute force en tentant d'injecter des instructions. C'est hyper théorique et probablement peu ... probable
        Christophe (cavo789)
        Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
        Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

        Commentaire


        • #5
          Re : Pensez-vous que cela pose un problème de sécurité ?

          Envoyé par cavo789 Voir le message
          Cela fonctionne alors même que tu n'es pas connecté en tant qu'admin... dans l'admin ?
          celà fonctionne si je crée ce lien de menu. Sinon, ça renvoie vers la page d'accueil du Site

          Edit : euh, non ça fonctionne même sans lien de menu.
          Donc que j'affiche le lien ou non celui qui étudie la structure de Joomla peut facilement avoir accès à ce type d'url
          Dernière édition par Dens à 15/03/2012, 15h59

          Commentaire


          • #6
            Re : Pensez-vous que cela pose un problème de sécurité ?

            Allez on oublie le sujet.
            Désolé pour la perte de temps
            j'étais déconnecté en Front mais pas en backend.
            Si je suis déconnecté front et backend, ce type de lien ne fonctionne pas (j'édite mon premier message)
            Dernière édition par Dens à 15/03/2012, 16h22

            Commentaire


            • #7
              Re : Pensez-vous que cela pose un problème de sécurité ?

              Aucun soucis Denis.

              Bye
              Christophe (cavo789)
              Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
              Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

              Commentaire

              Annonce

              Réduire
              Aucune annonce pour le moment.

              Partenaire de l'association

              Réduire

              Hébergeur Web PlanetHoster
              Travaille ...
              X