phpBB-fr.com

[Afilnit]

Je préfère ne pas donner le nom de mon hébergeur, ça ne sert à rien. Mais je l'ai prévenu sur ton conseil greg

Auriez-vous des codes de protection en plus de celui que tu m'as donné greg ? Des codes qui empêchent complètement ces merdes de passer ?

Est-ce une bonne idée de remattre l'uploader en place, si j'ai des bons codes de protection de votre part ?

Merci encore.

[greg18100]

Recherche sur Google, il y en a des tas et teste les avant de les mettre à disposition, j'en ai vu un qui pourrait te convenir mais il est payant (je précise que malgré le nom du blog, cela n'a rien à voir avec moi ) : http://www.greg-blog.fr/script-hebergem ... ad-images/

Et pour ton hébergeur c'est facile

; <<>> DiG 8.3 <<>> belforum.net ANY
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUERY SECTION:
;; belforum.net, type = ANY, class = IN

;; ANSWER SECTION:
belforum.net. 1d23h11m4s IN NS ns1.infomaniak.ch.
belforum.net. 1d23h11m4s IN NS ns2.infomaniak.ch.

;; AUTHORITY SECTION:
belforum.net. 1d23h11m4s IN NS ns1.infomaniak.ch.
belforum.net. 1d23h11m4s IN NS ns2.infomaniak.ch.

;; ADDITIONAL SECTION:
ns1.infomaniak.ch. 11h44m20s IN A 84.16.66.66
ns2.infomaniak.ch. 16h9m31s IN A 84.16.67.66

;; Total query time: 1 msec
;; FROM: wega to SERVER: default -- 127.0.0.1
;; WHEN: Sun Jun 1 13:41:48 2008
;; MSG SIZE sent: 30 rcvd: 139

[Gryffondor]

Bonjour,

Que pensez-vous de cet uploader ? http://belforum.net/img

Merci

Maintenant, c'est intérressant de voir comment le sujet initial a complètement changé: Maintenant on ne parle plus de fonctionnalité où présentation mais de sécurité informatique.
Pour répondre à ta question:

L'uploader est bourré de faille.
Ce sujet est l'exemple type du beau site aux belles failles de sécurité:

Au départ, pour répondre à ta question initiale, tout le monde s'oriente sur le design et sur les fonctionnalités de l'uploader mais personne ne semble se soucier de la sécurité même de l'outil... (Je m'inclus dedans).
Pour dire que avant de penser design & fonctionnalité, pour n'importe quel site au monde, caritatif, de non-profits, ou commercial, il faut penser dans tous les cas, même les plus faibles, à la sécurité... Celle de soit et celle du client.

En plus, depuis quelques années, la sécurité des internautes est souvent le poids en + qui fait pencher la balance par rapport aux concurrents direct.

[Gryffondor]

Est-ce une bonne idée de remattre l'uploader en place, si j'ai des bons codes de protection de votre part ?

La bonne idée n'est pas de savoir si il faut remettre l'uploader en place si tu as quelques scripts de sécurité mais faut surtout te poser la question, est-ce que tu as fait le tour du pot pour la sécurité de ton formulaire?

Pour moi toutes les méthodes sont bonnes à prendre:
- Sécurisation pour empêcher l'envoi de script et donc vérification des paramètres que sont censés avoir une image et donc que les scripts ne peuvent avoir
- Code de sécurité aléatoire anti-bots (même si la meilleur solution actuelle reste la question de logique)
- Enregistrement de l'adresse IP du client qui upload

Et bien d'autres méthodes à coupler pour une meilleur sécurité

[-roby-]

- Code de sécurité aléatoire anti-bots (même si la meilleur solution actuelle reste la question de logique)
- Enregistrement de l'adresse IP du client qui upload

Un espace membre serait mieux je pense

Roby

[Morgyanne]

01 Juin 2008, 15:30
01 Juin 2008, 15:35

Merci de ne pas poster plusieurs messages à la suite! La fonction EDITER permet d'y remédier.

@ Gryffondor
Et la fonction Editer tu en fais quoi ?!

@+
Morgyanne

[Gryffondor]

Désolé , j'ai pas fait attention: Mauvaise manip

[abble]

Au départ, pour répondre à ta question initiale, tout le monde s'oriente sur le design et sur les fonctionnalités de l'uploader mais personne ne semble se soucier de la sécurité même de l'outil... (Je m'inclus dedans).
Pour dire que avant de penser design & fonctionnalité, pour n'importe quel site au monde, caritatif, de non-profits, ou commercial, il faut penser dans tous les cas, même les plus faibles, à la sécurité... Celle de soit et celle du client.

la premiere chose qu'on fait dans une demande d'avis, ce n'est pas envoyer un fichier de hacking pour vérifier la sécurité
La morale de l'histoire:
on ne s'improvise pas hébergeur d'images comme ça, il faut un minimum de recherche et de connaissances pour offrir un service de qualité.
(ce n'est pas une brimade, j'aurais pu faire la meme chose si ça m'interressait et je n'aurais pas fait mieux au niveau de la securité.)

[greg18100]

la premiere chose qu'on fait dans une demande d'avis, ce n'est pas envoyer un fichier de hacking pour vérifier la sécurité

lol oui, mais essayer d'envoyer un fichier vide ou avec un simple echo "bonjour"; nommé monimage.php.gif permet déjà de voir si c'est un minimum sécurisé ou non et d'avertir la personne.

Code de sécurité anti-bot, c'est un plus mais ne protège pas du visiteur humain malveillant, idem l'IP tellement facile à brouiller, tout ça c'est des plus et gêne le boulot des hackeurs mais blinder le code doit être la priorité.

[Afilnit]

Un minimum dans ton script serait de mettre ces quelques lignes afin d'empêcher l'upload de fichiers qui ne sont pas des images (empêcher le téléchargement de image.php.jpg par exemple ) :

Code: Tout sélectionner

         if(!@getimagesize($_FILES['fichier']['tmp_name']))
{ echo "Seul l'upload de fichiers image est autorisé"; exit;}

Est-ce suffisant ? C'est un code qui bloque déjà bien et qui sécurise déjà bien ?

Recherche sur Google, il y en a des tas et teste les avant de les mettre à disposition, j'en ai vu un qui pourrait te convenir mais il est payant (je précise que malgré le nom du blog, cela n'a rien à voir avec moi ) : http://www.greg-blog.fr/script-hebergem ... ad-images/

Et pour ton hébergeur c'est facile

; <<>> DiG 8.3 <<>> belforum.net ANY
;; res options: init recurs defnam dnsrch
;; got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 2
;; flags: qr rd ra; QUERY: 1, ANSWER: 2, AUTHORITY: 2, ADDITIONAL: 2
;; QUERY SECTION:
;; belforum.net, type = ANY, class = IN

;; ANSWER SECTION:
belforum.net. 1d23h11m4s IN NS ns1.infomaniak.ch.
belforum.net. 1d23h11m4s IN NS ns2.infomaniak.ch.

;; AUTHORITY SECTION:
belforum.net. 1d23h11m4s IN NS ns1.infomaniak.ch.
belforum.net. 1d23h11m4s IN NS ns2.infomaniak.ch.

;; ADDITIONAL SECTION:
ns1.infomaniak.ch. 11h44m20s IN A 84.16.66.66
ns2.infomaniak.ch. 16h9m31s IN A 84.16.67.66

;; Total query time: 1 msec
;; FROM: wega to SERVER: default -- 127.0.0.1
;; WHEN: Sun Jun 1 13:41:48 2008
;; MSG SIZE sent: 30 rcvd: 139

Merci. Oui oui, je sais bien que c'est facile de voir tout ça... Mais bon, je ne vois pas l'intérêt d'étaler ça ici...
Par curiosité, comment fait-tu pour avoir toutes ces infos d'un site ?

[Dakin Quelia]

C'est un service Whois qui permet d'avoir les informations.

[Afilnit]

Un minimum dans ton script serait de mettre ces quelques lignes afin d'empêcher l'upload de fichiers qui ne sont pas des images (empêcher le téléchargement de image.php.jpg par exemple ) :

Code: Tout sélectionner

         if(!@getimagesize($_FILES['fichier']['tmp_name']))
{ echo "Seul l'upload de fichiers image est autorisé"; exit;}

Est-ce suffisant ? C'est un code qui bloque déjà bien et qui sécurise déjà bien ?


Mon hébergeur m'a répondu concernant ce problème :

Apparemment vous avez fait le ménage; c'etait un fichier uploadé via le
script PHP http://www.belforum.net/img/, depuis l'adresse IP
86.70.167.241.
Vous avez les logs HTTP à disposition si vous voulez investiguer plus à
fond.

Nous avons regardé le reste de votre hébergement, rien d'autre de noter.

Meilleures salutations,

Donc apparemment, rien de grave.

Mais que sont les "logs HTTP" ?

[ErnadoO]

Non ce n'est pas suffisant

[greg18100]

Non ce n'est effectivement pas suffisant, d'ailleurs on peut mettre un max de notre côté mais de vrais hackeurs arrivent bien souvent à trouver des failles, le tien ne devait être que quelqu'un qui a voulu te montrer qu'il y avait un problème (pas malin mais c'est un autre débat), son IP ne semble même pas être cachée (elle correspond à un utilisateur Neuf Cegetel de la région de Metz).

Comme dit plus haut, fais des recherches avec ton pote Google et plonge toi dans le code, y a que ça de vrai et puis demande à quelqu'un dont c'est le métier de t'aider, des codeurs qui partagent leur savoir ça existe

Personnellement ce type de sécurisation m'intéresse aussi

[Oyo]

Salut,
Si ça peux t'aider regarde ce code

@ABDev, tu as toujours pas eu le temps de regarder mon code en rapport à ce topic ?