Auteur Sujet: ! Les Htaccess.fi Lisibles Par L'internaute  (Lu 2609 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne bman

  • Débutant
  • *
  • Messages: 19
    • http://demarrage.bienvenuchezouam/
! Les Htaccess.fi Lisibles Par L'internaute
« le: 03 décembre 2005 à 17:11:40 »
Hello,

Si vous utilisez des htaccess.fi sur vos sites, sachez que ceux-ci ne sont pas filtrés par Apache sur les mutualisés.
Normalement (sur un autre hébergement qui utilise des htaccess et non des htaccess.fi), quand on tape http://www.lesite.com/.htaccess, on se fait jeter, et c'est bien normal.
Mais quand on tape http://www.lesite.com/htaccess.fi sur un site hébergé par phpnet, on en voit la source...

Bon, j'avoue que je n'ai testé qu'avec des htaccess dont le but n'est pas de demander un login / mot de passe (je n'ai pas çà sur mes sites hébergés sur phpnet pour l'instant), mais sur des htaccess.fi qui font de l'url rewriting ou de la désactivation de php sur un répertoire.

Mais j'aimerais bien un petit retour d'expérience de la part de quelqu'un qui utilise des htaccess pour demander un login / mot de passe.

Et pour phpnet, serait il possible de sécuriser un peu les choses ?

Merci,

Hors ligne atapi

  • Connaisseur
  • ***
  • Messages: 306
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #1 le: 03 décembre 2005 à 18:52:51 »
tu réfléchis pas bcp, le htpasswd.fi, on le met au meme endroit que le htacess, donc pas de risque, maintenant, si un perdu protège un dossier et le met sur l'index, c'est plus grave

MAIS, le mdp est de toute façon codé, donc, ca limite encore les risques, déjà je ne sais pas quel est le codage qu'utilise phpnet (apaprement, pas md5)

bon, risque limité


Maintenant, c'est vrai que ca ne coute rien de regarder et d'empecher la lecture des .fi
« Modifié: 03 décembre 2005 à 18:58:53 par atapi »

Hors ligne diaoul

  • Expert
  • ****
  • Messages: 663
    • http://diaoul.net
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #2 le: 03 décembre 2005 à 18:59:50 »
???

Risque Maximum!!

a titre d'info, quelqu'un a posté ses mdp dans un post précedent, ça m'a pris 1 seconde à cracker...

genre test:1$MDgPcadkr82 donne
D:\Program Files\utils\john-16\run>john -show htpassword.fi
test:test

1 password cracked, 0 left
« Modifié: 03 décembre 2005 à 19:37:17 par diaoul »

Hors ligne atapi

  • Connaisseur
  • ***
  • Messages: 306
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #3 le: 03 décembre 2005 à 19:01:10 »
tu peux pas y avoir accès au htpasswd.fi puisqu'en générale il est dans le dossier a accès restreint, bon, une fois qu'on est dedans, on peut a la limite voir les comptes d'autres personnes, mais ca change pas grand chose

Ou alors, y'a un truc auquel j'ai pas pensé  ;)  
« Modifié: 03 décembre 2005 à 19:02:28 par atapi »

Hors ligne bman

  • Débutant
  • *
  • Messages: 19
    • http://demarrage.bienvenuchezouam/
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #4 le: 03 décembre 2005 à 21:55:20 »
Hello,

Si j'avais pensé qu'il y avait là un risque majeur de sécurité, je ne l'aurais certainement pas posté sur le forum ;-) J'aurais contacté directement phpnet...

Plus sérieusement, je ne crois pas qu'il y ait de risque direct de sécurité, mais c'est jamais bon de laisser accès à ce genre de chose. Moins on laisse d'indice, plus un hacker aura de mal à entrer.
Dans un sens, c'est comme le mot de passe de la BDD. Je pourrais vous donner le mien, vous ne pourriez pas en faire grand chose. Mais je préfère pas...

@+

Hors ligne atapi

  • Connaisseur
  • ***
  • Messages: 306
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #5 le: 03 décembre 2005 à 22:57:08 »
oui, c'est pas interdit d'empecher l'acces et comme de toute façon, on affiche rien dedans, mieu vaut l'eviter

Hors ligne diaoul

  • Expert
  • ****
  • Messages: 663
    • http://diaoul.net
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #6 le: 04 décembre 2005 à 15:47:48 »
Citer
Hello,

Si j'avais pensé qu'il y avait là un risque majeur de sécurité, je ne l'aurais certainement pas posté sur le forum ;-) J'aurais contacté directement phpnet...
Tout le monde est au courant depuis la migration Apache2, il y eu plusieurs posts sur le sujet (évaporés depuis le hack).

Citer
Plus sérieusement, je ne crois pas qu'il y ait de risque direct de sécurité, mais c'est jamais bon de laisser accès à ce genre de chose. Moins on laisse d'indice, plus un hacker aura de mal à entrer.
Entièrement d'accord, on peut imaginer quelqu'un faisant des redirections par exemple pour éviter de donner le chemin d'acces de son admin de script ou mettant son htpassword ailleurs que dans un repertoire protégé, comme l'a dit Atapi.

Citer
Dans un sens, c'est comme le mot de passe de la BDD. Je pourrais vous donner le mien, vous ne pourriez pas en faire grand chose. Mais je préfère pas...
Peux-tu développer?
Si j'ai ton login et mdp,  qu'est ce qui m'empêche d'accéder à ton phpMyAdmin?

Hors ligne atapi

  • Connaisseur
  • ***
  • Messages: 306
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #7 le: 04 décembre 2005 à 17:32:46 »
ben, le fait que t'as pas le login

Hors ligne diaoul

  • Expert
  • ****
  • Messages: 663
    • http://diaoul.net
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #8 le: 04 décembre 2005 à 20:14:45 »
OK, si tu peux m'assurer qu'en cas de problème sur les serveurs Phpnet (mysql en particulier) ou de mise à jour de ta part ou de celle de Phpnet, tu n'as pas un magnifique :
Warning: mysql_connect(): Can't connect to local MySQL server through socket '/var/run/mysqld/mysqld.sock' (2) in /home/users2/l/tonlogin/www/ on line 4,
auquel cas je m'empresserais dès rétablissement d'aller jeter un oeil sur tes bases (tonlogin1, tonlogin2, etc)
et je serais peut-être malheureusement pas le seul  ;)


PS:exemple ci-dessus copié/collé il y a 10 secondes sur un site phpnet en production....il se reconnaitra :)
Le fait de croire son login inaccessible est un peu limite au niveau sécu...


Bref: faites gaffe, protégez vos fichiers .fi et vos fichiers config, mettez des ...or die() ou une gestion d'erreur dans vos scripts, mettez à jour vos scripts, cryptez et sauvegardez vos mots de passe, etc...
« Modifié: 04 décembre 2005 à 20:58:17 par diaoul »

Hors ligne bman

  • Débutant
  • *
  • Messages: 19
    • http://demarrage.bienvenuchezouam/
! Les Htaccess.fi Lisibles Par L'internaute
« Réponse #9 le: 05 décembre 2005 à 12:03:19 »
C'est vrai que l'accès à phpmyadmin de phpnet est, pour moi, un véritable problème au niveau sécurité, voire un gouffre... j'avoue que je préfèrerais un million de fois que cet accès soit impossible via l'url phpnet, et installer tout bêtement mon propre phpmyadmin sur mon hébergement, et mieux protégé...

D'autant plus qu'avec le forum hacké dernièrement, et vu que le lien entre identification sur le forum et login / mot de passe bdd ne pas être impossible, çà me gêne un peu...

Pour ce qui est des erreurs, le fait de récupérer le login, heureusement, ne donne pas accès au mot de passe de la BDD (ouf...).
Pour ma part, toutes mes pages commence par un
error_reporting(0);
et j'utilise aussi un handler spécifique pour gérer les erreurs.

Je conseille à tous de faire de même.