Comment cacher les informations sensibles dans le code source

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [RÉGLÉ] Comment cacher les informations sensibles dans le code source

    Bonjour,

    En éditant le code source de mon site dans un navigateur, via les outils de développement de Firefox par exemple, on peut voir des informations sensibles comme le nom du template, les plugins, les modules...
    Ces informations doivent faire la joie des hackers.

    J’avais déjà caché la ligne :
    <meta name="generator" content="Joomla! - Open Source Content Management" />
    en ajoutant le code suivant
    Code:
    JFactory::getDocument()→setGenerator('');
    dans le fichier index.php de mon template.

    Comment cacher les informations sensibles ?

  • #2
    Sensible, oui et non
    C'est une bonne idée, l' "obfuscation", càd le fait de cacher un maximum de choses.

    Mais quel que soit le CMS, on ne peut pas tout cacher.
    Effectivement, on va voir le nom du template.
    Par contre, beaucoup de plugins seront invisibles (si j'utilise ReReplacer, ça ne se voit pas p ex).

    Il faut surtout avoir un site à jour (et savoir que, chaque année depuis plus de dix ans, il y a deux fois plus de CVE, càd de failles, dans WordPress que dans Joomla. Donc déjà on a une bonne base, surtout qu'il faut moins d'extensions sur Joomla que sur d'autres CMS vu qu'il permet déjà de faire plus de choses...).
    Micky701 aime ceci.
    Présentations : slides.woluweb.be | Coordonnées complètes : www.woluweb.be

    Le prochain JoomlaDay FR présentiel aura lieu à Bruxelles (date à préciser suite aux reports "COVID-19"). Évènement à ne pas rater ! Pour patienter, nous organisons des joomladays virtuels. Plus d'infos sur https://www.joomladay.fr

    Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter la base de connaissance : https://kb.joomla.fr

    Ce forum, vous l'aimez ? Il vous a sauvé la vie ? Vous y apprenez régulièrement ? Alors adhérer à l'AFUJ, l'association francophone des utilisateurs de Joomla : https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Bonjour Marc,

      Merci pour la réponse.
      Je pensais à cacher certaines informations car, par exemple, sur un de mes deux sites, j'utilise le template natif Protostar, dont le nom apparait dans le code source. Il est donc facile de deviner qu'il s'agit d'un site Joomla.

      Commentaire


      • #4
        Bonjour,

        De toutes manières, si tu explores les logs, tu verras que les robots pirates envoient des adresses sans se poser la question de savoir avec quoi ton site est fait, donc même en masquant le maximum, ça ne te protègera guère.
        Micky701 aime ceci.
        "Patience et longueur de temps font plus que force ni que rage..." (La Fontaine : Le Lion et le Rat) - "Il n'y a pas de problèmes; il n'y a que des solutions" (André Gide).
        MoovJla et LazyDbBackup sur www.joomxtensions.com - FaQ sur www.fontanil.info - Site pro : www.robertg-conseil.fr et sites perso chez PlanetHoster + sites gérés chez PHPNET, 1and1 et OVH

        Commentaire


        • #5
          Bonjour à tous

          D'accord avec tout le monde :-)

          Marc et Robert ont parfaitement raison, il y a tant de moyen de détecter si un site est basé sur tel ou tel CMS; il y a le code HTML de la page mais aussi le fichier robots.txt qui est clair et net à ce propos ainsi que certaines versions de fichiers (p.ex. des fichiers .js). Il est possible de masquer certaines choses et on appelle cela l'obfuscation.

          D'accord avec toi Micky, c'est un petit jeu de chercher à cacher cela. Un jeu auquel je m'étais prêté aussi et qui invite à accroître ses connaissances web.

          L'essentiel étant de surtout prendre du temps à sécuriser son site et de bien comprendre que les attaques ne sont pas menées par des humains ayant analysé le site; c'est lancé à l'aveugle par des scripts (bots) qui vont attaquer ton site comme si c'était du WP, du phpMyAdmin, ... Si tu regardes les logs, tu y verras des attaques à-tout-va.

          Bonne journée.
          Micky701 aime ceci.
          Christophe (cavo789)
          Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
          Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
          Mes logiciels OpenSource : https://www.avonture.be

          Commentaire


          • #6
            Bonjour,

            D'accord avec Robert au niveau des robots : ils testent à l'aveugle.

            De même, il y a de nombreux outils permettant de récupérer des informations sur vos sites, même si vous en cachez pas mal (comme c'est mon cas), par exemple https://builtwith.com/

            Comme évoqué par Marc (woluweb), le plus important est d'avoir un site à jour. Les hackeurs sont friands de sites obsolètes dont les failles sont faciles à exploiter car expliquées sur le web, telle celle d'avant Joomla 3.6.6 (on est en 2017) : https://www.fortinet.com/blog/threat...are-discovered

            Quand on voit le nombre de sites qui ne sont pas à jour, pour lesquels on voit passer des messages sur ce forum, cela peut être effrayant...

            Pascal
            Micky701 aime ceci.
            If anything can go wrong, it will...
            If I can help, I will ..https://conseilgouz.com

            Commentaire


            • #7
              Ce type de mesures est ce qu'on appelle "la sécurité par l'obscurité" (ça sonne mieux en anglais ! - security by obscurity). Cela peut avoir un sens mais souvent cela donne un faux sentiment de sécurité. C'est comme cacher la clé de sa porte blindée sous le paillasson. D'accord, il faut penser à regarder mais ce n'est quand même pas la meilleure solution...
              De toutes manières, vous ne pourrez jamais cacher la technologie de votre site à celui qui voudrait la connaître. Il suffit par exemple de taper l'URL https://monsite.tld/media/jui/js/cms.js pour visualiser ce script JS et voir qu'on parle bien de Joomla!. Et vous ne pouvez pas modifier ce fichier, ni changer son nom, ni empêcher son accès puisque cela compromettrait le fonctionnement du site.

              Donc, effectivement, comme rappelé plus haut, le plus important est d'avoir un site à jour, donc Joomla! ET les extensions, de même que le serveur. Evitez d'utiliser une version PHP trop ancienne par exemple.

              D'un autre côté, inutile d'être trop bavard. Il n'est en général pas très difficile de masquer la version de PHP ou du serveur (Apache ou LiteSpeed), en général direcvtement au niveau de la console d'hébergement,sinon dans le .htaccess.

              Enfin, s'il n'y avait qu'un seul fichier à dissimuler, c'est celui-ci : https://monsite.tld/administrator/ma...les/joomla.xml puisque celui-ci indique que non seulement il s'agit de Joomla! mais en plus indique la version.

              [EDIT]Comme le forum tronque les liens, le dernier exemple que je donnais est /administrator/manifests/files/joomla.xml, à ajouter à votre nom de domaine.[/EDIT]
              Dernière édition par jfque à 24/03/2021, 12h43
              Micky701 aime ceci.
              Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
              Administrateur certifié Joomla! 3
              https://www.betterweb.fr

              Commentaire


              • #8
                Nous sommes tous d'accord, l'obfuscation n'est pas de la sécurité mais c'est quand même fun

                Il y a quelques années, je m'étais amusé à me rendre sur certains sites (au hasard ou aidé par une requête paramétrée sur Ggl) et d'accéder manuellement à robots.txt. Il y a parfois des pépites.

                Comme un "disallow /secrets" pour faire simple. Oh ? c'est quoi ce dossier ? Et de constater que si je mets /secrets je peux en voir le contenu; zéro protection.

                Le webmaster souhaitait interdire au moteur de recherche "sympas" d'indexer ce dossier mais ce faisant, il a surtout dévoilé la présence dudit dossier à des petits coquins.

                Micky701, lomart et jfque aiment ceci.
                Christophe (cavo789)
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)
                Développeur de marknotes, logiciel de gestion de prises de notes avec interface web et de multiples convertisseur https://github.com/cavo789/marknotes
                Mes logiciels OpenSource : https://www.avonture.be

                Commentaire


                • #9
                  Bonjour à tous,

                  Merci pour toutes vos réponses que je comprends très bien.
                  Je sais que celui qui veut savoir, d’une manière ou d’une autre, il saura !

                  En effet, il faut effectuer toutes les mises à jour, ce que je pratique systématiquement.

                  Les robots pirates génèrent sur un de mes deux sites des centaines, voir parfois des milliers d’erreurs 404 par jour. Dans le composant Redirections, je vérifie toutes ces erreurs 404 une par une, à l’affut d’une erreur légitime. C’est pénible !

                  La sécurité d’un site n’est pas une mince affaire mais c’est très intéressant.

                  Bonne journée

                  Michel

                  Commentaire


                  • #10
                    Je suppose que par "erreur légitime", vous voulez dire une "vraie" page manquante ou disparue.
                    Pour vous éviter ce travail pénible (d'autant que ce composant n'est pas des plus convivial), je vous suggère plutôt de consulter régulièrement la Search Console de Google pour voir les erreur que le robot Google (et vous pouvez faire de même pour Bing) détecte éventuellement. Du point de vue SEO, c'est en fin de compte la seule qui compte. S'il ne détecte rien, il n'y a rien à corriger.
                    N'oubliez pas non plus que si vous dépublier effectivement une page, il faut conserver l'erreur 404 puisqu'elle indique que ce contenu n'est plus disponible. Les moteurs de recherche finiront par la retirer automatiquement de leur index.
                    Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                    Administrateur certifié Joomla! 3
                    https://www.betterweb.fr

                    Commentaire


                    • #11
                      Bonjour,

                      Merci pour les informations.

                      En effet, par erreur légitime je sous-entends une vrai erreur 404.

                      Je suis réfractaire à Google. Je sais, je vis sur une autre planète !
                      C’est pour cela que je contrôle les erreur 404 dans le composant Redirections.

                      Ces milliers d’erreurs 404 sont principalement générées par 3 adresses IP statiques. Je les ai bloquées dans le fichier .htaccess mais ces 3 adresses IP continuent !

                      Michel

                      Commentaire


                      • #12
                        Je peux comprendre jusqu'à un certain point le "réfractaire à Google" mais alors je ne comprends pas pourquoi vous vous souciez des erreurs 404. Cela à un sens si le SEO vous préoccupe et, si c'est le cas, vous devez tenir compte de Google qui est utilisé pour plus de 90 % des recherches sur Internet.
                        Si le SEO ne vous intéresse pas, ce qui est tout-à-fait légitime, désactivez le plugin de redirection et ne vous occupez de rien.
                        Tous les services pour les sites Joomla! : sécurité, nettoyage de sites piratés, hébergement, SEO, applications Fabrik, migration, compatibilité mobiles, accessibilité, ...
                        Administrateur certifié Joomla! 3
                        https://www.betterweb.fr

                        Commentaire


                        • #13
                          Bonjour,

                          Je suis réfractaire à Google mais pas borné, ni stupide, ni aveugle !
                          Etant informaticien, je me doutais qu’en évoquant Google je m’attirerais les critiques des "pro-Google". Ce n’est pas grave, avec mes collègues nous avons l’habitude. Chacun est libre et chacun son avis. Mais ce sujet n’est pas l’objet de ce topic.

                          Je consulte les erreurs 404 et les logs par curiosité et pour connaître une partie des attaques des hackers contre mes sites.

                          Quant au SEO, j’ai suivi et j’ai mis en place les principales mesures et recommandations. Je les contrôles avec d’autres outils que ceux de Google.
                          Sur mes deux sites internet, je ne vends rien. Ce ne sont que des sites d’informations destinés à un public connaisseur et francophone. Ce public sait comment trouver mes deux sites et le bouche à oreille ainsi que les recommandations marchent très bien.

                          Bonne journée
                          Michel

                          Commentaire

                          Annonce

                          Réduire
                          1 sur 2 < >

                          C'est [Réglé] et on n'en parle plus ?

                          A quoi ça sert ?
                          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

                          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

                          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
                          Comment ajouter la mention [Réglé] à votre discussion ?
                          1 - Aller sur votre discussion et éditer votre premier message :


                          2 - Cliquer sur la liste déroulante Préfixe.

                          3 - Choisir le préfixe [Réglé].


                          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

                          2 sur 2 < >

                          Assistance au forum - Outil de publication d'infos de votre site

                          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

                          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

                          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

                          UTILISER À VOS PROPRES RISQUES :
                          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

                          Problèmes connus :
                          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

                          Installation :

                          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

                          Archive zip : https://github.com/AFUJ/FPA/zipball/master

                          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

                          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

                          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

                          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

                          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
                          et remplacer www. votresite .com par votre nom de domaine


                          Exemples:
                          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/
                          Pour executer le script: http://www..com/fpa-fr.php

                          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
                          Télécharger le script fpa-fr.php dans: /public_html/cms/
                          Pour executer le script: http://www..com/cms/fpa-fr.php

                          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

                          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
                          Voir plus
                          Voir moins

                          Partenaire de l'association

                          Réduire

                          Hébergeur Web PlanetHoster
                          Travaille ...
                          X