Wikini

SecuriteSurUnServeur

PagePrincipale :: DerniersChangements :: DerniersCommentaires :: ParametresUtilisateur :: Vous êtes ec2-54-80-180-41.compute-1.amazonaws.com
<< GererLesUtilisateurs DocumentationAdministrateurTechnique FiltrerLeSpamDesReferrers >>



Sécurité sur un serveur

Je viens de transférer les fichiers de Wikini sur un serveur . Comment puis-je définir les droits d'accès à ceux-ci ? --FidelioEspoir


Superbe, la simplicté est un art. Merci --FidelioEspoir


Mot de passe en clair de la base de données

PloumPloum> J'ai vu que le mot de passe de la base de donnée est en clair dans un fichier chmodé en 644. ça ouvre une faille de sécurité terrible ça ! (j'avais vu un exploit pour ça mais je sais plus comment.) Que faire ?

Réponse : C'est sûr, il y a peut être des choses à revoir au point de vue sécurité, si tu retrouve l'exploit, ça nous intéresse -- DavidDelon

Une solution consiste à créer un fichier .htaccess dans le dossier de base de Wikini contenant les lignes suivantes :


Cela permet, dans l'hypothèse où il y aurait un problème chez l'hébergeur et que les fichiers PHP ne seraient plus interprétés mais transmis "en clair", d'éviter que ce fichier soit directement accessible via un navigateur. D'ailleurs, ce serait un plus si Wikini était livré avec ce fichier .htaccess :) Sinon, mis à part un problème chez l'hébergeur ou un bug sérieux, je ne vois pas comment il est possible d'obtenir le mot de passe "en clair" tel qu'il est renseigné dans wakka.config.php -- LiNuCe

Pourquoi ne pas faire un chmod og-rwx sur le fichier des mots de passe, puis un chown pour donner le même UID et GID du process qui fait tourner le serveur web ? Cela permettrait dans un premier temps de sécuriser ce fichier. -- AlexandreRoman?

C'est tout à fait recommandé si Wikini est hébergé sur une machine personnelle où on a un accès total aux fichiers ou chez un hébergeur permettant de changer les permissions. Mais c'est tout bonnement impossible chez des hébergeurs comme chez Free (qui fonctionne en Safe Mode) où les permissions sont initialisées "automatiquement" sans qu'on puisse les modifier. -- LiNuCe

Pour ma part je ne suis vraiment pas spécialiste des questions de sécurité, mais je me pose la question suivante : est-ce que tous les serveurs web vont gérer correctement de .htaccess ? (Par ailleurs, LiNuCe, si tu souhaites participer au développement, la porte est grande ouverte.) -- CharlesNepote
(CharlesNepoteASuivreEnPriorite)

Pour le .htaccess, le serveur Apache le gère pour contrôller les accès (entre autres), pour les autres serveurs Web, je n'en sais rien. C'est une solution utilisable chez la plupart des hébergeurs qui ne permettent l'accès FTP qu'à la racine directe du site. Sinon, pour un machine personnelle sur laquelle doit être installé WikiNi, il est possible de mettre le wakka.config.php hors de la racine DocumentRoot?, disons dans le dossier /var/www/, et de mettre uniquement une ligne include( '/var/www/wakka.config.php') depuis le fichier de configuration original de WikiNi : les informations d'accès à la base seront ainsi inaccessibles depuis Internet quelque soit l'état de fonctionnement du serveur dans les cas les plus extrêmes. Par ailleur, pour participer au développement, il faut que je comprenne bien le fonctionnement de WikiNi :) Ceci dit, c'est en cours : j'ai apporté diverses personnalisations à WikiNi pour l'intégrer au site Slackware Francophone sur lequel nous travaillons (et qui devrait sortir incessament sous peu pour ceux que ça intéressent), ce qui m'a permi de mieux comprendre sont fonctionnement, mais du travail reste à faire :) -- LiNuCe

LiNuce, tu proposes "il est possible de mettre le wakka.config.php hors de la racine DocumentRoot?, disons dans le dossier /var/www/, et de mettre uniquement une ligne include( '/var/www/wakka.config.php') depuis le fichier de configuration original de WikiNi" : qu'est-ce que tu entends par "fichier de configuration original de Wikini" ? -- ArnaudSVT

Je pense que les autres serveurs que apache ont tout de même beaucoup de mal à gérer les .htaccess, il me semble avoir déjà vu quelque part quelqu'un disant qu'il existait un genre de plug-in pour les serveur IIS mais que ça ne marchait pas aussi bien qu'avec apache (je ne saurais malheureusement retrouver cela...).
Sinon pour ce qui est de protéger le fichier avec le mot de passe, c'est tout de même assez difficile en fait: il faut encore qu'on puisse le lire ! Il existe cependant quelques trucs qui peuvent permettre de placer quelques bâtons dans les roues des petits malins, mais je ne suis pas sûr que cela puisse arrêter un connaisseur: il s'agit d'encoder le fichier de configuration en base 64, grâce à Zend, php sait interpréter directement le fichier sans le décoder. Dans le même genre il y a aussi rot13, sinon je ne vois vraiment pas ce qu'on pourrait faire d'autre :-S La plupart des autres logiciels php ont aussi leur mot de passe en clair dans un fichier... L'important c'est qu'il n'y ait pas une faille qui permette de lire directement le fichier (genre faille include) -- LordFarquaad

Lien en rapport : http://coding.romainl.com


<< GererLesUtilisateurs DocumentationAdministrateurTechnique FiltrerLeSpamDesReferrers >>

Il n'y a pas de commentaire sur cette page. [Afficher commentaires/formulaire]