Maximus, le CMS Français simple, rapide et sécurisé

[Cyril]

Dans la logique de phpBB, y'a quand même quelques trucs très très étranges qui m'échappe quand au minimum à faire en matière de sécurité ...

Passons sur le fait que le fichier config.php soit sur le root, ce qui n'est pas de la meilleure idée, en attendant le fichier n'est absolument pas sécurisé contre une quelconque lecture par un autre script, ce qui est potentiellement très dangereux puisqu'il détient les accès à la base de données lol

En l'état et avant d'aller plus en avant, ouvrez le fichier config.php puis juste après

Code: Tout sélectionner

<?php


ajoutez cette ligne

Code: Tout sélectionner

defined('IN_PHPBB') or die('Acces config denied');

Nota: je vire aussi le la fermeture de fichier par défaut ( c'est plus sage ), dernière ligne du fichier suivante

Code: Tout sélectionner

?>

Rajout du 22 mars 2010

Remplacez ceci

Code: Tout sélectionner

// là je précise le nom de ma table _authors de mon maximus
@define('TABLE_BB3_AUTHORS', $prefix.'_authors');
// là je précise le nom de ma table _users de mon maximus
@define('TABLE_BB3_USERS', $prefix.'_users');
// là je ne touche plus rien :)
@define('PHPBB_INSTALLED', true);

par ceci, ce qui évitera quelques erreurs dans les fichiers logs et évitera de perdre du temps de calcul bêtement

Code: Tout sélectionner

// là je précise le nom de ma table _authors de mon maximus
if ( !defined('TABLE_BB3_AUTHORS') )
           define('TABLE_BB3_AUTHORS', $prefix.'_authors');
// là je précise le nom de ma table _users de mon maximus
if ( !defined('TABLE_BB3_USERS') )
          define('TABLE_BB3_USERS', $prefix.'_users');
// là je ne touche plus rien :)
if ( !defined('PHPBB_INSTALLED') )
          define('PHPBB_INSTALLED', true);

[GravuTrad]

Même la version seo a ce souci?

on peut rapporter le tout chez phpbb? (ca peut les aider?)

[epsylon]

salut

le root tu peux le bouger avec un alias et un include et ensuite le mettre dans un rep comme dans max non?

[Cyril]

@GravuTrad : oui même la seo , la seo protège bien contre les attaques classiques via l'url mais il reste pas mal de paramètres à sécuriser dans cette version, d'ailleurs PHP Firewall sera livré par défaut avec notre version, je ne compte pas qu'une faille de phpbb mette tous les utilisateurs de la communauté à mal

pour ta seconde question

on peut rapporter le tout chez phpbb? (ca peut les aider?)

crois tu réellement qu'ils ont besoin de conseils d'un blaireau comme moi ?
franchement moi je dis que si c'est comme ça, c'est que c'est voulu
mais personnellement je ne livre pas un script en l'état lol


@epsylon il faudrait le faire oui comme pour maximus, ce qui killerait toute possibilité de s'amuser avec ce foutu fichier ( là tel qu'il est, c'est un libre accès à tout le monde , incroyable quand même ), mais je n'ai pas fait encore le tour de toutes les dépendances et il est possible suivant le code que ce soit impossible de le faire, je vais tester durant plusieurs jours avant de valider ceci

[epsylon]

sur bbtomax je l'avais fait avec succes je pense que sur phpbb tu peux aussi

[Cyril]

comme je t'ai dis, je n'ai pas fait encore le tour des dépendances

si le forum a des dépendances profondes avec le chemin du fichier cela impliquera de modifier un ou des fichiers de phpbb ce que je ne veux pas faire

dans mon idée, et c'est certainement la plus sage, on ne doit pas toucher au produit ou si on le modifie ce doit être uniquement des ajouts ci et là ce qui ne doit pas provoquer de rupture dans le code ou de bug, si on commence à bricoler dans les fichiers autant dire que l'on va casser la compatibilité du script original, ce qui entrainera instantanément des soucis pour les utilisateurs finaux

mais si c'est jouable sans causer de bugs et sans modifier de fichiers alors oui autant le faire, je le testerai mais le plus important est fait avec le contrôle en début de fichier

je te confirme que le fait de déplacer le fichier config.php est une très bonne idée, le renommer autrement c'est une vrai banane parce que de toute façon les informations sont chargées dans chaque page ...

j'avais vu à différents endroits qu'il fallait renommer le fichier config, mais autant dire que ça n'aura qu'un impact: créer des bugs là où il n'y en avait pas, coté sécurité ça ne tient pas la route

[Cyril]

Actualisation du message initial

[GravuTrad]

Tiens le début tu avais déja vu ici lol:

http://www.php-maximus.org/wiki/index.p ... ximus_2008

[Cyril]

non, le wiki a été actualisé entre temps lol
crois tu que je chôme ?

[GravuTrad]

Peux t'on par ailleurs utiliser une base sql différente entre le site et le forum phpbb3 ou il faut tout sur la même? est ce que ça change quelque chose niveau sécu?