[spip-dev] htaccess et visiteur

Ce mardi 20 mai, Yaquoi écrit:

C'est pas que je sois parano yack, mais j'ai deja eu un probleme
d'intrusion avec phpnuke... je sais nuke ce n'est pas spip, mais nul n'est
à l'abri, et il y a eu quelques messages concernant la sécurité sur la
liste qui n'ont pas eu de réponse... alors oui je paranoye un peu !!

C'est assez raisonnable. Les piratages de machines rencontrés ces
derniers temps (dans des institutions différentes) révèlent plusieurs
cas de mots de passe sniffés sur le réseau.

Dans ce sens, je ne peux que conseiller de ne jamais laisser un mot
de passe non encrypté traverser le réseau.

Ceci veut dire:
- plus jamais de telnet mais du ssh
- https au lieu de http pour tous les accès spip où il faut entrer
   un mot de passe
- ldaps et non ldap si on utilise cette possibilité avec spip

Ceci n'est qu'un début.

        Anne

- https au lieu de http pour tous les accès spip où il faut entrer
   un mot de passe

Je ne veux pas dire de bêtises, mais il me semble que le mot de passe est crypté grâce à un javascript (donc sur la machine cliente). La communication du password se fait donc de manière cryptée non ?