sécurité

26c2d4aa24d1ce775fd2 · Mai 3, 2004, 2:37

Bonjour,

Je voudrais savoir quel est le niveau de sécurité de spip. Sur spip.net ou spip-contrib, les recherches sur sécurité ou ssl n'ont rien donné.

Je comprends qu'en général les pages html envoyées sont du bête html. Je ne sais pas comment crypter ça, ça m'intéresserait pour certains squelettes sensibles mais ce n'est pas ma question principale ici;
Je voudrais savoir si l'activité éditoriale peut être espionnée:
- quand il y a login, le mot de passe est-il envoyé en clair par le butineur ou bien seulement son md5?
- les connections à la base MySQL sont-elle cryptées ou bien en clair?

Merci,

--
Christian Mercat

615beda9217b323297ed · Mai 3, 2004, 2:47

Le Mon 03/05/2004 à 16:37, Christian Mercat a écrit :

Je comprends qu'en général les pages html envoyées sont du bête html. Je
ne sais pas comment crypter ça, ça m'intéresserait pour certains
squelettes sensibles mais ce n'est pas ma question principale ici;

Rien n'empèche de mettre spip sur un serveur SSL.

Je voudrais savoir si l'activité éditoriale peut être espionnée:
- quand il y a login, le mot de passe est-il envoyé en clair par le
butineur ou bien seulement son md5?

Un jscript encode le mot de passe en md5 avant de l'envoyer au serveur.

- les connections à la base MySQL sont-elle cryptées ou bien en clair?

Ça, ça se passe entre le serveur web et la bdd, donc interne à
l'hébergeur.
C'est en clair, mais ça n'a pas d'importance si l'hébergeur n'a pas
des firewall gruyère

À+, Pif.

26c2d4aa24d1ce775fd2 · Mai 3, 2004, 3:01

Merci! Quelques petits commentaires supplémentaires:

C'est un hébergeur local, j'ai tout contrôle.

Je comprends qu'en général les pages html envoyées sont du bête html. Je ne sais pas comment crypter ça, ça m'intéresserait pour certains squelettes sensibles mais ce n'est pas ma question principale ici;

Rien n'empèche de mettre spip sur un serveur SSL.

Bon, j'ai bien conscience qu'il faut que je rtfm sur SSL.

Je voudrais savoir si l'activité éditoriale peut être espionnée:
- quand il y a login, le mot de passe est-il envoyé en clair par le butineur ou bien seulement son md5?

Un jscript encode le mot de passe en md5 avant de l'envoyer au serveur.

Ok, merci.

- les connections à la base MySQL sont-elle cryptées ou bien en clair?

Ça, ça se passe entre le serveur web et la bdd, donc interne à
l'hébergeur.
C'est en clair, mais ça n'a pas d'importance si l'hébergeur n'a pas
des firewall gruyère

Oui, je comprends que c'est un problème de paramétrage de MySQL en fait. C'est donc quand on crée la base. Désolé d'être tatillon, j'ai un collègue parano, son boulot c'est la crypto! Il ne veut pas avoir à faire confiance à ses propres collègues.

Cordialement,

--
Christian Mercat