J’ai decouvert que le fichier inc_connect.php contient le ‹ user name › et ‹ password › de tout mon website! Mais cela est certainement pas secure! Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Merci en avance
Huw
Bonjour,
huw@darkneon.com a écrit :
J'ai decouvert que le fichier inc_connect.php contient le 'user name' et 'password' de tout mon website!
Il faut bien que les paramètres de connexion à votre base de données soit quelques part, sinon, comment voulez-vous que SPIP s'y connecte ?
Mais cela est certainement pas secure! Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Si, c'est secure : essayez donc d'appeler ce fichier par votre navigateur, rien n'est lisible, et pour cause : impossible de lire tels quel des fichiers php, impossible de les aspirer, bref, illisible du web, uniquement lisible par FTP.
Cordialement, Olivier Gautier.
Merci en avance
Huw
------------------------------------------------------------------------_______________________________________________
liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip-contrib.net/spikini/FaQ
Bonjour,
Le 12 nov. 06 à 23:38, <huw@darkneon.com> <huw@darkneon.com> a écrit :
J’ai decouvert que le fichier inc_connect.php contient le ‹ user name › et ‹ password › de tout mon website!
Ce n’est pas vraiment une découverte : c’était inc_connect.php3 jusqu’à la 1.9 et c’est devenu inc_connect.php. Ce fichier contient les données minimum pour permettre à spip de se connecter à la base de données (nom de base, nom d’utilisateur, mot de passe).
Mais cela est certainement pas secure!
Non mais ce n’est pas non plus un « trou de sécurité ».
C’est une nécessité pour spip : il faut bien que tu lui donnes les moyens de se connecter à la base hein 
Pour te rassurer un peu :
-Il est dans /ecrire donc seuls les personnes authentifiées pourraient y accéder via le web
-Il est en « .php » donc personne ne peut le lire : il est interprété comme du php.
-Il n’est lisible qu’en ftp : tu n’as pas donné tes identifiants de ftp à toute la planète, si?
Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Pour Spip ce n’est pas possible.
Utilise un autre CMS si tu préfères, le problème sera le même.
–
Philippe
On Sun, 2006-11-12 at 22:38 +0000, huw@darkneon.com wrote:
Comment est-ce-que je peux utiliser Spip sans avoir cette information
dans un fichier sur mon site?
en les mettant dans le php.ini et en modifiant le inc_connect et
inc/db_mysql.php pour qu'ils n'appelles pas mysql_connect, comme ça,
les appels à mysql_query utiliseront les paramètres pas défaut.
bien sur, ça n'est possible que si tu as la main sur la config, sinon,
il faudra mettre ça dans un .htaccess et si tu crains pour un .php, tu
crains autant pour un .htaccess ...
--
À+, Pif.
Philippe Auriol wrote:
Bonjour,
Le 12 nov. 06 à 23:38, <huw@darkneon.com> <huw@darkneon.com> a écrit :
J'ai decouvert que le fichier inc_connect.php contient le 'user name' et 'password' de tout mon website!
Ce n'est pas vraiment une découverte : c'était inc_connect.php3 jusqu'à la 1.9 et c'est devenu inc_connect.php.
Et en 1.9.2 svn alpha 2 , suite à la eéorganisation selon les droits du serveur et les destinations des fichiers, c'est devenu
config/connect.php
(c'est compatible)
Pour notice, depuis que "James a tout pété", on cause de config/ var/ et tmp/ (cf. trunk)
Ce fichier contient les données
minimum pour permettre à spip de se connecter à la base de données (nom de base, nom d'utilisateur, mot de passe).
Il doit être réservé uniquement pour la lecture du serveur.
Mais cela est certainement pas secure!
Non mais ce n'est pas non plus un "trou de sécurité".
Le "trou" serait que tout un chacun puisse le lire , à travers spip ou tout autre logiciel présent sur le serveur.
C'est une nécessité pour spip : il faut bien que tu lui donnes les moyens de se connecter à la base hein
Pour te rassurer un peu :
-Il est dans /ecrire donc seuls les personnes authentifiées pourraient y accéder via le web
-Il est en ".php" donc personne ne peut le lire : il est interprété comme du php.
-Il n'est lisible qu'en ftp : tu n'as pas donné tes identifiants de ftp à toute la planète, si?Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Pour Spip ce n'est pas possible.
Utilise un autre CMS si tu préfères, le problème sera le même.--Philippe
+1
Pour rappel, tu as aussi une protection par .htaccess dans le répertoire concerné ainsi qu'une protection incluse dans le php lui-même pour empécher que ce script puisse être chargé directement.
En conclusion, je dirais que si tu es vraiement concerné par la "sécurité", n'utilises pas windows.
--
toggg
bertrand Gugger a écrit :
Philippe Auriol wrote:
Bonjour,
Le 12 nov. 06 à 23:38, <huw@darkneon.com> <huw@darkneon.com> a écrit :
J'ai decouvert que le fichier inc_connect.php contient le 'user name' et 'password' de tout mon website!
Ce n'est pas vraiment une découverte : c'était inc_connect.php3 jusqu'à la 1.9 et c'est devenu inc_connect.php.
Et en 1.9.2 svn alpha 2 , suite à la eéorganisation selon les droits du serveur et les destinations des fichiers, c'est devenu
config/connect.php
(c'est compatible)Pour notice, depuis que "James a tout pété", on cause de config/ var/ et tmp/ (cf. trunk)
Ce fichier contient les données
minimum pour permettre à spip de se connecter à la base de données (nom de base, nom d'utilisateur, mot de passe).
Il doit être réservé uniquement pour la lecture du serveur.
Mais cela est certainement pas secure!
Non mais ce n'est pas non plus un "trou de sécurité".
Le "trou" serait que tout un chacun puisse le lire , à travers spip ou tout autre logiciel présent sur le serveur.
C'est une nécessité pour spip : il faut bien que tu lui donnes les moyens de se connecter à la base hein
Pour te rassurer un peu :
-Il est dans /ecrire donc seuls les personnes authentifiées pourraient y accéder via le web
-Il est en ".php" donc personne ne peut le lire : il est interprété comme du php.
-Il n'est lisible qu'en ftp : tu n'as pas donné tes identifiants de ftp à toute la planète, si?Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Pour Spip ce n'est pas possible.
Utilise un autre CMS si tu préfères, le problème sera le même.--Philippe
+1
Pour rappel, tu as aussi une protection par .htaccess dans le répertoire concerné ainsi qu'une protection incluse dans le php lui-même pour empécher que ce script puisse être chargé directement.
En conclusion, je dirais que si tu es vraiement concerné par la "sécurité", n'utilises pas windows.
Il me semble que SPIP est l'un des CMS les plus sécurisé et sécurisant actuellement. Comparativement Joomla, Mambot présentent eux de véritables failles!
Mais puisqu'on en est à parler de ça, si je ne parle pas de faille de sécurité notoire, il me semble pourtant que le fait qu'un rédacteur puisse avoir accès aux adresses mails d'autres rédacteurs dans la partie privée du site ne soit pas une bonne chose.
Si le site est ouvert à l'inscription, n'importe qui de mal intentionné s'enregistre comme rédacteur et peut ainsi créer des méga-listes et spamer à volonté...Et que dire au niveau des appels de membres en ce qui concerne la concurrence!!
J'avais posé la question il y a quelques jours et grâce à vous, j'ai pu occulter aux rédacteurs les adresses couriels de tous, en laissant toutefois la visibilité aux admins.
Je crois qu'en matière de protection, cette option devrait être inclue d'office dans les nouvelles versions à venir.
Bernard
Olivier Gautier wrote:
Bonjour,
huw@darkneon.com a écrit :
J'ai decouvert que le fichier inc_connect.php contient le 'user name' et 'password' de tout mon website!
Il faut bien que les paramètres de connexion à votre base de données soit quelques part, sinon, comment voulez-vous que SPIP s'y connecte ?
Mais cela est certainement pas secure! Comment est-ce-que je peux utiliser Spip sans avoir cette information dans un fichier sur mon site?
Si, c'est secure : essayez donc d'appeler ce fichier par votre navigateur, rien n'est lisible, et pour cause : impossible de lire tels quel des fichiers php, impossible de les aspirer, bref, illisible du web, uniquement lisible par FTP.
La seule faille de cette solution n'est pas dans la solution elle même mais dans les fichiers de sauvegarde que nos éditeurs de textes.
Par exemple, si vous connaissez un utilisateur d'emacs, rechercher le fichier inc_connect.php~, il y a beaucoup de chance qu'il existe si la personne n'a jamais été confronté au problème. Et ce fichier, est malheureusement lisible avec les configuration d'apache par default. (Le ~ correspond à emacs, mais je pense que la plupart des éditeurs ont leur format propre de fichier de sauvegarde)
Cordialement
Marc