Re : Pour + de sécurité, désinstaller sans complexes !

Bonjour,

En regardant dans le .htaccess généré par AESecure, les fichiers contributin.md, htaccess.txt, ... sont déjà écartés, donc, peu de risques à ce niveau. Vous pouvez quand même les supprimer, mais, je pense que cela ne changera pas grand chose, sauf peut-être une erreur 403 (access denied) générée par AESecure au lieu d'une erreur 404 (not found).

Pour les templates Hathor, Protostar, Beez, je viens de faire un test de mise à jour à partir d'un "vieil" environnement 3.6.4 où je les avais supprimés: la mise à jour en 3.6.5 ne les a pas ré-installés.

Bonne continuation et bonnes fêtes de fin d'année,

Pascal

Re : Pour + de sécurité, désinstaller sans complexes !

Bonjour

C'est une excellente remarque que celle de la réinstallation des templates natifs... note qu'il en va de même pour les fichiers que tu as supprimés : si ces fichiers, si ces templates sont dans le pack de mise-à-jour, ils seront remis.

Comme le souligne pmleconte, tu peux contrer l'accès aux fichiers (CONTRIBUTING.md, htaccess.txt, LICENSE.txt, joomla.xml, ...) avec une règle dans le .htaccess. Ainsi, même s'ils sont présent, tu peux ne pas les afficher et décider ce que tu fais (envoyer une erreur 403, 404 ou celle de ton choix)

Pour les templates, l'idée est d'interdire l'utilisation de ces templates qui pourraient contenir une faille. Comme tu l'auras sans nul doute lu dans le pack de màj vers 3.6.5, il y a un souci de sécurité (low) dans le template beez (https://developer.joomla.org/securit...isclosure.html). Si quelqu'un peut accéder à ton site et forcer l'affichage de ce template (càd en faisant un ?tmpl=beez) en URL, il va (peut-être) pouvoir exploiter la faille.

Si tu avais viré beez de ton site, cela serait juste impossible à activer.

Note : dans le .htaccess, tu peux aussi écrire une règle qui interdit l'utilisation de "(?|&)tmpl=".

Bonne journée et bonnes fêtes à tous.

Re : Pour + de sécurité, désinstaller sans complexes !

Merci à tous deux pour vos explications.
Par contre, je fais une distinction entre les bloquer et les virer, nombreux semblent donc être ceux qui les bloquent via le .htaccess.

Mais ceux qui les virent, n'ont ils jamais eu à le regretter ? Ne peux t-on pas se retrouver un jour dans une situation où il faut les réinstaller ?

Parce que je me dis, autant les virer ! On allège les sauvegardes, quand on place un module, on a que les positions du template utilisé, bref, je n'y vois que des avantages. Pas vous ?

Re : Pour + de sécurité, désinstaller sans complexes !

Sur une installation, on a souvent (toujours ?) un problème de temps qui fait que l'on remet à demain le "cosmétique" et ce qui n'est pas vital.

De plus, je dois l'avouer, je ne m'étais pas encore intéressé aux fichiers "à poubelliser", donc, qui étaient restés depuis 3 ou 4 ans sur l'ensemble des sites. J'avais laissé ces fichiers dont je ne voyais ou ne connaissais pas l'inutilité.

Je viens de les supprimer car potentiellement dangereux, même si, grâce à AESecure (merci Christophe), ils étaient inaccessibles.

Pascal

Re : Pour + de sécurité, désinstaller sans complexes !

Réinstaller un template est simple.. Tu copies le dossier templates/beez pour prendre cet exemple depuis une archive de joomla vers ton site puis tu fais un "découvrir" depuis ton interface d'administration de joomla.

Je n'ai jamais eu à le faire mais je ne suis peut-être pas un bon exemple car je n'ai que deux ou trois site à gérer pas davantage.

Re : Pour + de sécurité, désinstaller sans complexes !

htacces.txt, robots.txt.dist, web.config.txt ne sont pas à supprimer mais à renommer (.htaccess, robots.txt, web.config).
Ces fichiers sont fourni par la communauté et fournissent des réglages par défaut.
Une fois renommés, il faut les personnaliser selon les besoins.
Le premier contient des regles de reecriture d'url, le second des regles concernant les robots parcourant ton site, et le dernier est l'équivalent du fichier .htaccess pour les seveurs iis(un seul à garder).

Ils réapparaitront des qu ils seront modifiés par les dev........

Quand aux templates, idem. Ils reapparaitront si les dev les modifient (et non à chaque mise à jour de Joomla).

Ces templates sont suffisament robuste pour passer plusieurs mise a jour sans être modifiés.

Si tu les utilise comme base, il faut travailler sur une copie histoire d 'eviter les ecrasement de fichier inatendus.

Re : Pour + de sécurité, désinstaller sans complexes !

Réinstaller à partir d'une copie de dossier et une découverte ne suffit pas toujours : il faut aussi penser aux fichiers de langue.

Re : Pour + de sécurité, désinstaller sans complexes !

Je ne vois pas l'utilité de garder le htaccess.txt quand tu as déjà un .htaccess en place. Idem pour robots.txt.dist, si robots.txt est déjà en fonction, pourquoi garder l'autre ? Sinon, un serveur iis, c'est plutôt un truc spécifique ou ça touche tout le monde ?

Re : Pour + de sécurité, désinstaller sans complexes !

tu peut les supprimer, ce n est pas un soucis.

Si les deux types de fichiers sont present, c est que tu n as pas utilisé la bonne methode pour les créer.

Normalement, c est on renomme et modifies.
Comme ca ils ne sont plus present.

iis = version windows d apache.

Re : Pour + de sécurité, désinstaller sans complexes !

IIS c'est sous Windows server donc ça concerne a priori assez peu de gens.

Re : Pour + de sécurité, désinstaller sans complexes !

Pourquoi tu dis cela ?
C'est juste qu'ils sont réapparus lors d'une mise à jour.

Re : Pour + de sécurité, désinstaller sans complexes !

s ils sont reapparu, c est qu il y a eu des modifs. tu devrais faire un diff entre les deux.....

Re : Pour + de sécurité, désinstaller sans complexes !

Oui bien sûr, mon .htaccess et mon robot.txt ont été personnalisés, ce qui me semble être une démarche normale, non ?

Re : Pour + de sécurité, désinstaller sans complexes !

Je viens de jeter un œil sur les patch de mises à jour : il semble qu'il y ai toujours ces fichiers robots.txt.dist et web.config.dist
A une époque même, c'était robots.txt qui était systématiquement écrasé, jusqu'à ce que robots.txt.dist le remplace dans les mises à jour, afin d'éviter cet écrasement.