phpBB-fr.com

[Afilnit]

Eh bien à la page http://www.forumjeux.net/index.txt , je n'ai aucun code, j'ai juste le screen que tu m'as donné.

[greg18100]

Je ne t'ai donné aucun screen bizarre que le lien ne te donne pas le fichier texte, je te l'ai envoyé par message privé.

[Afilnit]

Non non, tu ne m'as pas donné de screen. Tu m'as donné un lien, et sur ce lien, il y a ce que je te montre avec le screen que je t'ai donné.
Le principal est que tu m'aies communiqué le code , merci

En fait, ce que tu as rajouté question sécurité, c'est bien juste ça ? :

Code: Tout sélectionner

if (substr($name_file, -4) == '.jpg'  OR substr($name_file, -4) == '.JPG' ) {
         $extension = ".jpg";
         }
         if (substr($name_file, -4) == '.gif'  OR substr($name_file, -4) == '.GIF' ) {
         $extension = ".gif";
         }
                  if (substr($name_file, -4) == '.png'  OR substr($name_file, -4) == '.PNG' ) {
         $extension = ".png";
         }

Pourrais-tu faire le test d'anvoyer un autre truc à l'adresse http://belforum.net/img ? Pour voir si cela fonctionne bien avec la modification que tu m'as donné ?

Merci !

[greg18100]

Non ce n'est pas ça, mets le fichier index tel que je te l'ai envoyé, j'ai modifié à plusieurs endroits, parce que là regarde le nom de l'image :
http://belforum.net/img/depot/b2b27c76c82969a37119132db7f83cbfessai.php.jpg elle a conservé la double extension et le nom du fichier initial.

J'ai commenté la ligne originale et je l'ai modifiée :

Code: Tout sélectionner

#   $name_file=md5(uniqid(time())) . strtolower(str_replace(" ","_", $name_file));
      $name_file=md5(uniqid(time())) . strtolower(str_replace(" ","_",$extension));

[Afilnit]

Et ça joue sur la sécurité ça ?

Voilà, je l'ai fait. Tu peux me dire si c'est bon ?

Merci.

EDIT : P.S. : il y a un problème aussi avec le nouveau code : lorsqu'on a uploadé une image, et qu'on veut la supprimer, lorsqu'on clique sur le bouton "supprimer", ce message d'erreur apparaît : délai de supression dépassé (3 mn). Alors que ça allait très bien avant

[greg18100]

ça a l'air oui, teste dans tous les sens, comporte toi comme si tu voulais hacker ton site pour trouver les failles

edit : je n'ai pas touché à cette partie sur la suppression

[Afilnit]

Je ne demanderais que ça de pouvoir tester ! Tous les jours je regrette de ne pas avoir pu profiter du boom internet. Même si ce peut-être encore probable, je suis loin de m'y connaître que pour tester les failles d'un site en se mettant dans la peau d'un hacker C'est tout juste si je sais ce qu'est le php

Pour ce problème : lorsqu'on a uploadé une image, et qu'on veut la supprimer, lorsqu'on clique sur le bouton "supprimer", ce message d'erreur apparaît : délai de supression dépassé (3 mn). Alors que ça allait très bien avant.

Tu sais comment le résoudre ?

EDIT : Bon ok, c'est très bizarre parce que je n'y ait pas du tout touché...


P.S. post-edition : donc maintenant, pour toi, il est un minimum sécurisé, des attaques les plus stupides ?

Je remarque qu'en plus le resize ne marche plus non plus

[greg18100]

J'avais commenté la ligne 151 :

Code: Tout sélectionner

# session_start();

tu retires le # et ça devrait aller, mais remets le reste des modifs parce que là on a encore le nom des images avec la double extension.

Pareil pas touché au resize, et il fonctionnait quand j'ai testé.

[Afilnit]

J'ai remi. Le "supprimer" et le resize ont l'air de refonctionner.

Deux choses :
- peux-tu me confirmer que le code est protégé par ce que tu as rajouté ?
- J'ai un petit souci d'affichage des caractères : http://belforum.net/img/depot/094827e7d816df745deecfe14fbd5eb0.jpg

[greg18100]

Il est mieux protégé qu'il ne l'était avant, maintenant te dire qu'il l'est à 100% je n'en sais rien, fais le tester par plein de gens et surtout n'oublie pas que Google est ton ami.

Pour les caractères oui j'ai vu, surement un problème d'encodage différent sur ton serveur, je te laisse chercher... c'est le seul moyen d'apprendre

[Afilnit]

Bon, ben on arrive tout doucement au bout là... Je n'ose pas y croire

Encore deux/trois petites choses :

Depuis la modif que tu as apportée au code, plus moyen de connaître la taille des images uploadées : clic droit, propriété ---> aucune information sur la taille ;

[Gryffondor]

Je crois qu'un site protégé à 100% sa n'existe pas, du moins sur une longue periode. Tôt ou tard faut à un moment mettre un correctif car l'internet est monde qui évolue rapidement et les hackeurs avec.
En faite, avoir des hackeurs c'est primordial pour la sécurité de l'internet. Sans eux, on ne découvrirait pas les failles de nos propres créations.
Le juste équilibre dans un monde qui se veut de plus en plus simple et autonome.

[Afilnit]

Oui, sauf que les hackers qui détruisent leurs cibles ne le font pas dans ce but... Eux ils le font juste par pure "délinquance" si je puis dire...

greg, je pense avoir corrigé les derniers petits pépins. Peux-tu me confirmer une dernière fois que l'ajout (la sécurisation que tu as apporté dans le code) fonctionne toujours ? Je le demande parce que comme j'ai encore chipoté dans le code, j'espère ne pas avoir touché à des mauvais trucs, ça par exemple.

Merci beaucoup.

[Gryffondor]

Oui, sauf que les hackers qui détruisent leurs cibles ne le font pas dans ce but... Eux ils le font juste par pure "délinquance" si je puis dire...

Je pense pas, enfin pas tous... Sa pourrait être incroyable mais certains le font pour s'entrainer et se perfectionner.
être hackeur, c'est autant un métier que être développeur web.

[greg18100]

plus moyen de connaître la taille des images uploadées : clic droit, propriété ---> aucune information sur la taille

Sur l'aperçu ? Avec Firefox j'ai les dimensions

(D'ailleurs il te reste aperçu à corriger le ç est remplacé par un ?)

Le reste a l'air d'être ok.

certains le font pour s'entrainer et se perfectionner. être hackeur, c'est autant un métier que être développeur web.

Ils feraient mieux de développer des trucs intéressants et tester leurs applications avant de les diffuser au lieu de s'en prendre à celles des autres.

En faite, avoir des hackeurs c'est primordial pour la sécurité de l'internet. Sans eux, on ne découvrirait pas les failles de nos propres créations.

Tu plaisantes j'espère ?
Les vrais hackers, ceux qui ont de véritables connaissances pourraient largement les utiliser pour faire des trucs intéressants au lieu de vouloir se faire mousser en entrant dans des systèmes qui ne sont pas les leurs soit disant pour en montrer les failles et essayer de passer pour des héros.
Gryffondor tu mets dans ta signature que tu es un pro, que penseras-tu quand une personne malveillante pénètrera dans ton serveur et bloquera toute ta prod, que penseront tes clients, remercieras-tu le mec "super sympa" qui a fait cela ? J'en doute surtout s'il est entré en root sur le serveur, ce qui implique une réinstall complète donc du temps (plus le temps pour analyser les logs afin de comprendre comment il est entré), donc de l'argent.

Bref c'est un autre débat, là où je suis d'accord c'est qu'on n'est jamais sûrs à 100% qu'un site est protégé.