Auteur Sujet: Problème sécurité panel ?  (Lu 540 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne ankoin

  • Débutant
  • *
  • Messages: 33
Problème sécurité panel ?
« le: 17 Janvier 2017 à 17:02:38 »
Bonjour,

N'étant pas spécialiste, je me permet quand même de soulever un éventuel problème de sécurité.

Quand on est sur le panel et que l'on clique sur son hébergement, on peut cliquer sur le nom de l'hébergement (juste au dessus de "Expiration du compte le....")

Cela amène sur un lien de type : https://panel.phpnet.org/autologin/drive?newpanel=XXXXXXXXXXXXXXXXXXXXXXXXXX

Mais ce lien est accessible de n'importe quel endroit, sans besoin mot de passe, ni identifiant, ni cookie et permet d'accéder à tous les fichier et de pouvoir les effacer en 1 clic.

Est-ce que j'ai raison de m'inquiéter ou suis-je parano ? :)

Il y a bien une combinaison de 27 caractères dans l'URL, mais est-ce suffisant si un robot se mets à chercher les combinaisons ?

Dans l'attente de l'avis de spécialistes, bonne journée à tous.
Cordialement.

Hors ligne Yannick!

  • Administrateur
  • Habitué
  • *****
  • Messages: 115
Re : Problème sécurité panel ?
« Réponse #1 le: 18 Janvier 2017 à 07:46:52 »
Bonjour,

Il n' y a pas de problème de sécurité concernant l'accès au compte drive.

En revanche effectivement notre système d'authentification au panel utilise encore le mécanisme de session de PHP avec transmission du numéro de session via l'URL, ce qui n'est pas l'idéal.

Nous sommes justement en train d'améliorer la sécurité concernant ce point et des tests sont en cours pour que la bascule avec le nouveau système ne provoque pas de bug.

Cordialement

Hors ligne ankoin

  • Débutant
  • *
  • Messages: 33
Re : Problème sécurité panel ?
« Réponse #2 le: 18 Janvier 2017 à 11:43:56 »
Bonjour,

Merci pour votre réponse rapide.

Pour les points positifs, je trouve très pratique ce drivinFTP, notamment pour supprimer des répertoires, cela est beaucoup plus rapide que via Fillezilla, qui supprime les fichiers un par un à l'intérieur des répertoires, cela peut être très long.

Quelque chose serait très intéressant que vous pourriez afficher sur ce drivinFTP, le poids en Mo des répertoires.

Merci ! Cordialement.