Par Cyril Sécurité
Tags bloquer-ips bloquer-pays
Pour les amateurs de sensations fortes :)
Avis aux amateurs de protections diverses et variées, comme je l'ai annoncé hier sur mon blog www.cyril-levert.info, une solution simple existe afin de bannir tout un pays via les rangées d'IPs dédiées.
Certes à première vue on peut s'en foutre, on peut dire que cela ne sert à rien, bref on peut toujours tout dire et son contraire, mais une chose de sûre c'est que tôt ou tard vous verrez que vous en aurez besoin :(
Bref mieux que de longs discours, je vous laisse prendre connaissance du billet cité sur mon blog personnel, sinon ... ben ... moi ça va et vous :)
Par Cyril Sécurité
Tags php-firewall securité pare-feu-php
Plus rapide, plus sécurisé et de nouvelles fonctions au menu
Pour information la version 1.0.2 de PHP Firewall est disponible depuis le 01 avril 2010, ( ce jour quoi :) ), plus d'infomation sur mon blog personnel www.cyril-levert.info
Le téléchargement s'effectue sur le site officiel www.fr.php-firewall.info
Bonne mise à jour
Par Cyril Sécurité
Tags phpbb3 bridge phpbb-seo
Revue de sécurité
Comme annoncé hier au soir sur les forums, une faille de sécurité se balade actuellement dans le bridge phpBB3 tel qu'il était conçu jusqu'alors.
Pour résumer au mieux, une usurpation d'identité était réalisable avec le bridge précédent permettant sans compte utilisateur d'accéder à l'administration ( entre autre ... mais rassurez vous l'action n'est pas réalisable par monsieur tout le monde ).
Je vous recommande chaudement de mettre à jour votre bridge ( le fichier phpbb3.php ainsi que le fichier présent dans le dossier adm sont à remplacer ), ceci n'aura aucune incidence sur votre forum.
Par Cyril Sécurité
Tags attaques sécurité evolution
Les attaques évoluant, la sécurité d'un site se doit d'être maintenue
Aujourd'hui je suis tombé sur un nouveau type d'attaque, tentatives d'attaques jusqu'alors inconnues de mes soins.
Rassurez vous car ce nouveau type d'attaque ne passe pas sur un Maximus d'origine.
Après analyse du pourquoi du comment, la solution fut toute trouvée ( merci les logs :) ).
Votre mise à jour sera très facile, car l'upload du seul fichier livré vous protègera efficacement et durablement.
Par Cyril Sécurité
Aucun tag associé
Une nouvelle alerte très importante est lancée !
Alerte de la plus grande importance vu les possibilités offertes !
Un patch vous est livré sur les forums, très simple d'installation.
Renseignements et correctif sur ce forum.
Bonne mise à jour.
Par Cyril Sécurité
Aucun tag associé
Il était une fois la sécurité de mon site :)
Là, j'ai tout dit et j'ai rien dit :(
Les temps changent, les compétences aussi et j'avoue moi même mettre fait clouer au pilori hier lors d'une réunion sécurité linux !
Cette réunion, aura eu un impact ( pour moi ) majeur dans ma vision de la sécurité des sites internet dans leur globalité et tout ça pour avoir approfondi la gestion des droits des fichiers vu par Linux !
Je pensais savoir des choses sur la sécurité, ben ... j'ose avouer que j'étais très loin de deviner ce que l'on pouvait faire avec juste un chmod 777 sur un fichier ou un dossier.
J'avais réussi après de très gros chantiers à comprendre comment écrire dans un dossier ou fichier distant en chmod 777, c'était dur, ça ne marchait pas tout le temps et le script pour parfaire était très lourd ...
C'était sans compter ce que j'ai pu apprendre hier :(
D'ailleurs ma vue va en être bouleversée pour l'avenir, et ma façon de développer aussi !
Maximus devra donc évoluer dans cette nouvelle direction, ou la sécurité n'a pas d'autre prix que de se l'imposer tel un fardeau .
Alors on peut avoir plusieurs visions:
- se dire qu'on sait tout
- se dire que tout va bien
- se dire qu'il ne m'est jamais rien arrivé
- se dire que ça n'arrive qu'aux autres
- ou encore ne rien comprendre et se référer à n'importe quoi ou qui
Enfin, en ce qui me concerne, ma vie et ma vue du développement PHP va changer de direction et de manière ferme et définitive.
J'ai ouvert un fil de dicussion vous relatant au mieux ce que j'ai pu apprendre et mettre en oeuvre, et ce qu'il va être recommandé dorénavant pour utiliser à tête reposée ( jusqu'à quand , dieu seul le sait ) ses sites internet.
Ne vous ruez pas dans la psychose même si ce type de post se veut alarmant, j'ose avouer que certainement très très peu de gens arriveront à reproduire ce que j'ai pu apprendre hier, mais dans tous les cas, sachant ce que l'on peut faire si l'on ne respecte pas les droits des fichiers et chmods avec un site internet, croyez moi que maintenant je vais redoubler de vigileance.
Ces informations visent Maximus, parce que nous sommes sur ce projet, mais tenez vous le pour dit: ceci est valable pour tous les cms ou scripts existants.
Ce type de faille n'est pas causée par le cms en place mais tout simplement par une méconnaissance des faits, moi même je recommandais il n'y a pas si longtemps de mettre les dossiers en chmod 777, maintenant que j'en connais le pour et le contre je peux vous assurez que ce matin j'ai passé ma matinée à faire le tour de mes sites :)
Allez un peu de lecture saine vous fera du bien :)
Si la sécurité de votre/vos site(s) vous préoccupe alors lisez ce fil de discussion, mais ne tremblez pas quand même :)
Comme quoi on n'est jamais assez pointu sur les points les plus sensibles ( marrant d'ailleurs zorteil il y a quelques jours d'ici se posait exactement ce type de question ... peut être en avait il déjà la réponse, le coquin :( )
Attention toutefois, certains hébergeurs ne tolèrerons pas les chmods recommandés, dans ce cas que faire ?
Par Cyril Sécurité
Aucun tag associé
Après l'article, Dans le CMS tout est bon ( c'est comme dans le cochon ), nous allons voir le coté obscur ( et que la force soit avec nous :) ).
Ce second tuto portera donc sur la gestion de la sécurité dans ses propres développements web sous Maximus CMS.
Extrêmement simple quand tout est bien assimilé, il faut reconnaitre que sans tuto bien solide il est toujours très difficile de s'intégrer à l'esprit d'un CMS, et c'est le plus gros reproche que l'on pourrait faire au monde du libre en général: on survole l'ensemble mais on appronfondit jamais les choses :(
C'est justement le but de ce type de tutos, très pointu, que certains nommeraient de type 007 extrêmement confidentiel quoi :) ( à faire palir de rage un éléphant , PHP quoi :) )
Bon passons un peu aux choses sérieuses, car depuis ce matin je n'ai même pas bu un jus pour parfaire ce truc qui finalement m'a pris un temps plus que conséquent, mais sera utile ( très très utile même ) à bien des utilisateurs de Maximus 2008.
Vous découvrirez ainsi point par point comment gérer sa sécurité, mais et aussi comment bien comprendre l'architecture même de Maximus !
Même si je pense que ce type de tuto demande un minimum de connaissances en PHP/MySQL, j'ose à penser qu'il est et restera extrêmement utile même aux béotiens en développement, car comme tout un chacun tout le monde à eu un jour à commencer et croyez moi que si j'avais eu de tels outils j'aurai moins mangé du clavier et des heures de lecture/apprentissage et autres ...
Dans tous les cas, si vous avez des compléments ou autres sur ce tuto n'hésitez pas à le repporter sur nos forums !
Ne sachant pas trop ou taper dans le lard quant aux futurs tutos à réaliser ( tellement il y en a déjà ), j'attend aussi un peu de vous une direction à suivre ( sinon j'en ferai qu'à ma tête na :) )...
Je ne peux que vous inviter à consulter cet article dédié à l'apprentissage du comment sécuriser ses développements vite et bien sur le wiki à cette adresse.
Vous souhaitant beaucoup de plaisir avec Maximus 2008.
Par Cyril Sécurité
Aucun tag associé
A l'aube de livrer Maximus 2008 qui va remplacer à merveille votre bon vieux Maximus BS ( qui commençait à dater ), une faille majeure vient d'être mise à jour et fixée.
Vous êtes donc invité à mettre à jour votre/vos site(s) via le patch qui va bien livré sur les forums.
Téléchargement correctif de sécurité maximus BS
@ très bientôt pour livraison de maximus version 2008 :)
