Re : Fichier bin/keychain.php et sécurité

Salut,
qq infos sur keychain.php :
Keychain package by eddieajau · Pull Request #1568 · joomla/joomla-platform
-> https://github.com/joomla/joomla-platform/pull/1568



Hope it helps.

Re : Fichier bin/keychain.php et sécurité

OK merci, je ne comprends pas tout, mais c'est toujours intéressant.

Je passe ce fichier keychain.php en 444 sur mes sites, histoire de, qu'en pensez-vous ?

Re : Fichier bin/keychain.php et sécurité

Hmmm ...
Teste dans tous les sens, histoire de ne pas avoir de pb.
Par défaut, il est en 644.

Re : Fichier bin/keychain.php et sécurité

OK, merci !

Re : Fichier bin/keychain.php et sécurité

@Georgie : comment vas-tu faire dans xxx jours / semaines pour mettre à jour ton Joomla ? Si tu passes ici et là et encore là-bas des fichiers en 444, la mise-à-jour de Joomla va soit planter (puisqu'il voudra mettre à jour ton fichier qui est en lecture seule) soit va virtuellement réussir (=tu n'auras pas d'alerte) mais tes fichiers 444 n'auront pas été mis à jour.

Imaginons une faille de sécurité dans keychain.php. Ce fichier aurait été patché, une nouvelle version de Joomla est distribuée et tu lances la mise-à-jour. Au mieux, l'installation plante et tu devras te débrouiller pour comprendre la raison au pire elle passe mais ton keychain.php est toujours avec la faille.

Tu l'auras compris, je suis assez circonspect avec ta volonté de passer tant de fichiers en 444.

Re : Fichier bin/keychain.php et sécurité

Oui tout-à-fait d'accord, cette façon de faire suppose qu'avant chaque MAJ, on repasse tous les fichiers en 644.
Et qu'après chaque MAJ, muni de sa petite liste de fichiers sensibles, on les repasse tous un par un en 444.

C'est effectivement un peu particulier et chronophage, mais j'ai des sites institutionnels (très piratés même si peu de contenu sensible, voir même aucun parfois), cela chez des hébergeurs en devenir, c'est-à-dire des structures institutionnels mandatées pour devenir des hébergeurs à long terme, mais pour l'instant un peu en phase d'apprentissage...

Le public de ces sites ne nous permet pas d'aller trop loin en matière de contraintes de mots de passe, de captcha ou de double-authentification.

Du coup nous passons pas mal de temps à "surveiller" les sites, et c'est aussi très chronophage.

Du coup, je comptais me faire ma propre politique de CHMODS ultra-restrictifs, c'est un peu psychologique j'en conviens, voir irrationnel, mais les pirates m'ont rendu très... parano ! J'essaie juste de mettre toutes les chances de mon coté...

Re : Fichier bin/keychain.php et sécurité

[Clin d'oeil]

Converti ton site Joomla en HTML, tu seras plus sécurisé ;-)

[/Clin]

Re : Fichier bin/keychain.php et sécurité

Et bien figurez-vous que j'y songe, afin d'avoir des versions statiques de chaque site à déployer en cas d'intrusion, car mon hébergeur a comme moi une tendance a la parano, et peut immobiliser un site 1 semaine entière en cas d'attaques avérées, et ce même après un nettoyage efficace... Juste pour "être sûr".

Mais quand je vois un certain nombre de sites institutionnels utilisant des CMS mais sans les fonctions d'édition frontales ou autres, je me dis qu'une série de pages HTML seraient plus secure, et moins chronophages...

Donc effectivement...