[Sécurité] Protégez vos sites web !

Signaler
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
-
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
-
Si vous mettez un fichier confidentiel sur un site web, veillez à toujours mettre un mot de passe (Avec .htaccess par exemple).

Si vous vous dites: "C'est pas la peine, personne ne connait ce répertoire.", vous avez tout faux !

Voici divers exemple qui montre que des informations confidentielles peuvent bien vite se retrouver chez Google.

Et ça n'est pas bon pour vous, vraiment pas bon.

Googledorks:
http://johnny.ihackstuff.com/index.php?module=prodreviews

6 réponses

Messages postés
18601
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
25 janvier 2021
62 871
Petit truc : j'ai mis cette directive dans Apache :

<Files ~ "^\.">
    Order allow,deny
    Deny from all
</Files>


ça évite que quelqu'un puisse chopper un .bash_profile ou autre fichier Unix caché...



                                   
Jeff  --WM@CCM--
0
Utile
Messages postés
18601
Date d'inscription
lundi 15 février 1999
Statut
Webmaster
Dernière intervention
25 janvier 2021
62 871
Autre astuce : par défaut mon Apache interprète tout comme du PHP... ça évite les problèmes avec les .php.bak ou les .php~

Par contre c'est coûteux en ressources si vous avez des fichiers HTML simples...



                                   
Jeff  --WM@CCM--
0
Utile
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
516
Impressionnant !
Epoustouflant !
Merci !

:-o

Mais quand on est heberger chez free ou wanadoo par exemple, on fait comment !?

:-|

foobar... le fou du bar !!!
0
Utile
Messages postés
3635
Date d'inscription
jeudi 24 avril 2003
Statut
Contributeur
Dernière intervention
11 septembre 2005
304
Ben ils gèrent les .htaccess, non ? En tout cas chez Free, c'est du Apache.

-= Fu Xuen =-
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
516
ok merci !

foobar... le fou du bar !!!
0
Utile
Messages postés
6928
Date d'inscription
vendredi 5 mars 2004
Statut
Contributeur
Dernière intervention
18 novembre 2007
1 414
viens me voir poulet, je te dirais tout ;p

Gals - Nibelungen
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
516 >
Messages postés
6928
Date d'inscription
vendredi 5 mars 2004
Statut
Contributeur
Dernière intervention
18 novembre 2007

J'arrive alors !

foobar... le fou du bar !!!
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53
J'ai un site confidentiel pour mes familles seulement que je n'ai pas pris le mot de passe.

J'ai vérifié que tu avais dit c'est possible sur Google, le résultat il n'y a pas qu'il y a mon 2e lien pour le public... Et aussi j'ai essayé le nom du fichier du vidéo et le résultat il n'y a toujours pas.

Parce que je n'ai pas mis "index.htm" qu'un site en manuel que IE, Mozilla, netscape, les moteurs de recherche ne peuvent pas le lire qu'il faut un lien complet pour permettre de le lire donc Google cherche seulement les fichiers comme index.htm pour trouver ;-)

_________________________________
[=) Monster PC With HyperThreading (=]
0
Utile
Messages postés
3635
Date d'inscription
jeudi 24 avril 2003
Statut
Contributeur
Dernière intervention
11 septembre 2005
304
Je n'ai rien compris 8|.

-= Fu Xuen =-
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
3635
Date d'inscription
jeudi 24 avril 2003
Statut
Contributeur
Dernière intervention
11 septembre 2005

Sebssauvage a écrit :

Voici divers exemple qui montre que des informations confidentielles peuvent bien vite se retrouver chez Google.

Donc j'ai 2 sites (un pour public et un pour privé)

2e site privé que je n'ai pas mis le mot de passe mais seulement mes familles connaissent mon site que je leurs ai donné et seb a dit pour Google alors j'ai testé si c'est vrai donc le résultat n'est pas toujours vrai parce que le moteur de recherche fouille seulement les fichiers indiquants comme "index.htm" par exemple. Donc je n'ai pas mis "index.htm" qu'un autre nom qui ne tient pas connaitre sous un navigateur (index.htm est par défaut pour permettre l'affichage des pages automatique sans mettre "index.htm" sur le lien).

Alors j'ai testé les moteurs de recherche et ils ne trouvent pas mon 2e site qu'ils trouvent seulement mon 1er site (public)...

Si tu ne mets pas "index.htm" qu'un autre nom inventé donc Google ne le trouve pas :-)

As-tu compris ?


p.s. : mes 2 sites que j'ai créé en même jour.

_________________________________
[=) Monster PC With HyperThreading (=]
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 431 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

le moteur de recherche fouille seulement les fichiers indiquants comme "index.htm"

Fausse impression !

Les moteurs de recherche sont également capables de récupérer le listing de répertoires.

Un exemple tout simple, sans index.html
http://vinux.sourceforge.net/backup/
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019

Les moteurs de recherche sont également capables de récupérer le listing de répertoires.

Toi aussi peut-être fausse impression...

J'ai essayé TOUS les moteurs de recherche et ils n'ont pas trouvé mon 2e site (privé) QUE mon 1er site (public) seulement. Ces 2 sites que j'ai créé le même jour et je les envoyé le même jour (donc même heure) mais je l'ai envoyé il y a longtemps donc toujours pas trouvé sur les moteurs de recherche...

Ce lien que tu as donné. Mon 2e site est dans le serveur de 1er site donc 1er site n'affiche pas comme ce lien donné et le serveur de 1er site ne supporte pas mode FTP que mode HTTP uniquement donc les moteurs de recherche ne sont pas toujours capables de récupérér...

Tout le monde dit toujours parfois tromper... Personne n'est parfait.

_________________________________
[=) Monster PC With HyperThreading (=]
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 431 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

ils n'ont pas trouvé mon 2e site...

Tu aurais dû ajouter "...pour le moment".

Il est possible qu'ils ne le trouvent jamais, mais tu n'as aucune garantie dessus.
ça peut arriver un jour.
Et d'ailleurs, ça arrive (preuve: le site dont j'ai donné le lien)

Si tu ne met pas un mot de passe, tout moteur de recherche qui tombe (par hasard, par inadvertance) sur l'URL pourra l'indexer.

Mettre un mot de passe (.htaccess), même simple, t'assurera que les pages ne seront jamais indexées par les moteurs de recherche.

C'est un choix, mais je préfère la tranquilité d'esprit. :-)
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019

J'ai compris pourquoi il ne trouve pas mon 2e site parce que j'ai essayé un lien avec sous-dossier comme ton lien donné sur le navigateur et il m'a affiché l'erreur (fenetre de Wanadoo) donc je pense que la protection est intégré par Wanadoo.

Mon lien est
http://perso.wanadoo.fr/*******/*****/


là c'est sous dossier (2e espace des étoiles) qu'il ne peut pas afficher par Wanadoo.

Si je mets mon site avec mon hébergement là ca peut visualiser comme ton lien donné.

Tout ce que je pense. N'est-ce pas ?

_________________________________
[=) Monster PC With HyperThreading (=]
Messages postés
32840
Date d'inscription
mercredi 29 août 2001
Statut
Modérateur
Dernière intervention
21 octobre 2019
15 431 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

Effectivement, si ça n'est pas accessible du web, pas de risque.

J'ignore quelles protection Wanadoo a mis en place.
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

Désolé, je n'ai jamais essayé .htaccess donc je ne sais pas comment faire pour mettre ca :-/

Mon logiciel d'édition HTML est Nvu (très simple et très facile) qui n'est pas comme Dreamweaver.

Alors peux-tu m'expliquer comment créer .htaccess ?

Merci.

Quand je le créerai et je dois prévenir mes familles pour leurs donner le mot de passe lol :-)

_________________________________
[=) Monster PC With HyperThreading (=]
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
516 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

pour les .htaccess, c'est ici :

http://www.commentcamarche.net/apache/apacht.php3

bonne nuit !

foobar... le fou du bar !!!
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

Je n'ai pas compris trop cet explication que tu m'as donné ce lien car les textes sont un peu trop résumés :-/

Car je ne peux pas les suivre à comprendre c'est 1er fois pour utiliser un fichier être crypté :-(

Peux-tu reconstruire en étape par étape (plus clair) ?

Merci.

_________________________________
[=) Monster PC With HyperThreading (=]
Messages postés
13531
Date d'inscription
jeudi 9 janvier 2003
Statut
Contributeur
Dernière intervention
16 mai 2014
516 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

Salut,

tu crée un fichier .htaccess et tu mets ça dedans :

AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /repertoire/de/votre/fichier/.FichierDeGroupe
AuthName "Accès protégé"
AuthType Basic

<Limit GET POST>
Require valid-user
{instruction d'accès à satisfaire }
</Limit>

ensuite, tu cré un fichier de mot passe, comme dans l'exemple, c'est .FichierDeMotDePasse et tu y mets les noms et les mots de passe :

homedual:hyperthreading
JFPillou:Toto504
Damien:Robert(32)
Comma:Joe[leTaxi]
foobar:lefoudubar
ccm:troptop

bref, là, ils ne sont pas cryptés, ce qui veut dire que si quelqu'un tombe sur ton fichier, il a tous les mots de passe !

regarde en bas de la page que je t'ai donné, il y a un petit utilitaire qui te permet de les crypter...

voilà, c'est loin d'être complet mais c'est un début !
utilise google sinon !!
:-)
@++

foobar... le fou du bar !!!
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014
53 >
Messages postés
1154
Date d'inscription
lundi 1 décembre 2003
Statut
Contributeur
Dernière intervention
17 février 2014

J'attends votre réponse que j'ai posté le message n° 14 parce que j'aurai mon hébergement sur mon 2e PC (serveur) quand j'aurai ADSL.

C'est pour les sites persos de mes familles qui pourront les créer.

Je suis un peu marre pour les FAIs qui limitent la taille du stockage (100 Mo en général) donc mon serveur aura 5 ou 10 Go par personne (mon serveur a 300 Go total) que j'ai demandé mes familles qui veulent l'avoir pour ses sites persos "largement".

Mais aussi peut-être que mes bons copains qui peuvent créer ses sites sur mon serveur si j'autorise.

:-)

_________________________________
[=) Monster PC With HyperThreading (=]

Salut tout le monde.

Toujours ravi d 'apprendre que le HTaccess est une bonne protection :-)
C 'est grâce à la recherche de protection d 'un site pro que j'ai trouvé CCM :-)

Patrice
Vive Denis !
0
Utile