Fichier bin/keychain.php et sécurité

Réduire
X
 
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • Fichier bin/keychain.php et sécurité

    Bonjour à tous

    Je me demandais quel était le fichier situé bin/keychain.php, à quoi sert-il ?

    Il semble qu'il est utilisé pour certaines applications en ligne de commande, en savez-vous plus ?

    Je me demandais cela pour des raisons de sécurité. En effet si je ne m'en sers pas particulièrement, comme il s'agit d'un fichier un peu sensible je crois (lié à includes/defines.php), peut-être serait-il intéressant de lui mettre des CHMOD très restrictifs, qu'en pensez-vous ?

    Merci
    Dernière édition par Georgie! à 25/04/2016, 13h10

  • #2
    Re : Fichier bin/keychain.php et sécurité

    Salut,
    qq infos sur keychain.php :
    Keychain package by eddieajau · Pull Request #1568 · joomla/joomla-platform
    -> https://github.com/joomla/joomla-platform/pull/1568



    Hope it helps.
    Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter lla base de connaissance : https://kb.joomla.fr

    Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

    Commentaire


    • #3
      Re : Fichier bin/keychain.php et sécurité

      OK merci, je ne comprends pas tout, mais c'est toujours intéressant.

      Je passe ce fichier keychain.php en 444 sur mes sites, histoire de, qu'en pensez-vous ?

      Commentaire


      • #4
        Re : Fichier bin/keychain.php et sécurité

        Je passe ce fichier keychain.php en 444 sur mes sites, histoire de, qu'en pensez-vous ?
        Hmmm ...
        Teste dans tous les sens, histoire de ne pas avoir de pb.
        Par défaut, il est en 644.
        Un message d’erreur sur votre site Joomla ... ayez le reflexe de consulter lla base de connaissance : https://kb.joomla.fr

        Ce forum, vous l'aimez ? il vous a sauvé la vie ? Vous y apprenez chaque jour ? Alors adhérez à l'AFUJ https://www.joomla.fr/association/adherer

        Commentaire


        • #5
          Re : Fichier bin/keychain.php et sécurité

          OK, merci !

          Commentaire


          • #6
            Re : Fichier bin/keychain.php et sécurité

            @Georgie : comment vas-tu faire dans xxx jours / semaines pour mettre à jour ton Joomla ? Si tu passes ici et là et encore là-bas des fichiers en 444, la mise-à-jour de Joomla va soit planter (puisqu'il voudra mettre à jour ton fichier qui est en lecture seule) soit va virtuellement réussir (=tu n'auras pas d'alerte) mais tes fichiers 444 n'auront pas été mis à jour.

            Imaginons une faille de sécurité dans keychain.php. Ce fichier aurait été patché, une nouvelle version de Joomla est distribuée et tu lances la mise-à-jour. Au mieux, l'installation plante et tu devras te débrouiller pour comprendre la raison au pire elle passe mais ton keychain.php est toujours avec la faille.

            Tu l'auras compris, je suis assez circonspect avec ta volonté de passer tant de fichiers en 444.
            Christophe (cavo789)
            Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
            Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

            Commentaire


            • #7
              Re : Fichier bin/keychain.php et sécurité

              Oui tout-à-fait d'accord, cette façon de faire suppose qu'avant chaque MAJ, on repasse tous les fichiers en 644.
              Et qu'après chaque MAJ, muni de sa petite liste de fichiers sensibles, on les repasse tous un par un en 444.

              C'est effectivement un peu particulier et chronophage, mais j'ai des sites institutionnels (très piratés même si peu de contenu sensible, voir même aucun parfois), cela chez des hébergeurs en devenir, c'est-à-dire des structures institutionnels mandatées pour devenir des hébergeurs à long terme, mais pour l'instant un peu en phase d'apprentissage...

              Le public de ces sites ne nous permet pas d'aller trop loin en matière de contraintes de mots de passe, de captcha ou de double-authentification.

              Du coup nous passons pas mal de temps à "surveiller" les sites, et c'est aussi très chronophage.

              Du coup, je comptais me faire ma propre politique de CHMODS ultra-restrictifs, c'est un peu psychologique j'en conviens, voir irrationnel, mais les pirates m'ont rendu très... parano ! J'essaie juste de mettre toutes les chances de mon coté...

              Commentaire


              • #8
                Re : Fichier bin/keychain.php et sécurité

                [Clin d'oeil]

                Converti ton site Joomla en HTML, tu seras plus sécurisé ;-)

                [/Clin]
                Christophe (cavo789)
                Mon blog, on y parle Docker, PHP, WSL, Markdown et plein d'autres choses : https://www.avonture.be
                Logiciel gratuit de scan antivirus : https://github.com/cavo789/aesecure_quickscan (plus de 45.000 virus détectés, 700.000 fichiers sur liste blanche)​

                Commentaire


                • #9
                  Re : Fichier bin/keychain.php et sécurité

                  Et bien figurez-vous que j'y songe, afin d'avoir des versions statiques de chaque site à déployer en cas d'intrusion, car mon hébergeur a comme moi une tendance a la parano, et peut immobiliser un site 1 semaine entière en cas d'attaques avérées, et ce même après un nettoyage efficace... Juste pour "être sûr".

                  Mais quand je vois un certain nombre de sites institutionnels utilisant des CMS mais sans les fonctions d'édition frontales ou autres, je me dis qu'une série de pages HTML seraient plus secure, et moins chronophages...

                  Donc effectivement...

                  Commentaire

                  Annonce

                  Réduire
                  Aucune annonce pour le moment.

                  Partenaire de l'association

                  Réduire

                  Hébergeur Web PlanetHoster
                  Travaille ...
                  X