pirate

Le site du Petit Marocain a été piraté : tout a été effacé…

Selon Scout123, la version de Pluxml utilisé sur le site possédait une faille de sécurité. Couplée à une attaque brute-force sur la page d'admin (selon LPM) les articles ont été supprimés.

L'usage du brute-force : comment est-ce encore possible si facilement ?

Cette technique consiste simplement à tester toutes les combinaisons de mots de passe possibles. C'est comme si pour un cadenas à code vous testiez les combinaisons en partant de 000 pour aller à 999. Vous serez sûr tôt ou tard de trouver le mot de passe, mais il faut y passer du temps.
Évidement plus le mot de passe est long, plus il est dur à trouver : pour un caractère, il y a disons 50 possibilités (minuscules, majuscules, chiffres…), c'est trouvable même à la main. Pour 15 caractères il faudrait une durée 60 fois l'age de la Terre à raison de 1'000'000 de tentatives par secondes pour être sûr de trouver le mot de passe).

D'autre part, un mot de passe doit être stocké avec un salt, c'est à dire un code ajouté au mot de passe avant d'en calculer le hash. Par exemple, "pass" donnera un hash1, mais "hash(pass.salt)" donnera un hash2.
Ceci permet d'éviter l'usage des rainbow-tables : des tableaux de plusieurs centaines de giga-octets qui font la correspondance entre un hash et un mot de passe. Ici, les rainbow tables ne serviront à rien, vu que le hash2 ne correspond pas du tout à "pass", mais à "pass+salt", et vu que "salt" est choisis arbitrairement…

Autre chose : pour qu'un pirate arrive à se connecter, il lui faut le mot de passe. Mais il lui faut également la page de connexion : à quoi bon avoir une clé si le coffre est caché ?
C'est là que ce situe une autre faiblesse énorme dans presque tous les CMS que je connais : les pages de login sont toujours à la même place (wp-admin pour Wordpress par exemple). Il n'y a pas vraiment de possibilité de changer ça.
Je ne sais pas si c'est possible ailleurs (ça ne marche pas sous GSimple, ça march sous Pluxml à condition de modifier quelques fichier), mais je rappelle que si vous utilisez Blogotext, vous pouvez (et devriez) renommer le dossier Admin (une fois Blogotext configuré et installé) en ce que vous voulez : toto54, margherite ou kikou par exemple. Si vous choisissez quelque chose d'original, alors votre page de connexion sera aussi secrète que votre mot de passe.
Évidement, ça laisse entendre que vous ne placiez pas de lien vers le panel Admin sur votre page (Question sécurité, je trouve cette pratique du plus mauvais)…

Enfin, le brute force consiste à bombarder la page de connexion de requêtes : des centaines, voir des milliers de demandes par secondes. Limitons cela : une seule ligne de code PHP permet à n'importe quel script de limiter drastiquement le bruteforce : il suffit de faire un usleep(200000); à la connexion : la page ne sera exécutée qu'après 0,2 seconde. Autrement dit : il n'y aura qu'au maximum 5 requête par seconde. Le brute force devient impossible à faire depuis un ordinateur (il faudrait un botnet), tout en étant complètement transparent pour l'utilisateur : 0,2 secondes d'attente à la connexion, c'est rien. J'en avais déjà parlé en fait, mais c'est pas mal de se F5 la mémoire.

image de Pasuraku76

71 commentaires

gravatar
Jo a dit :

Oui ou tout simplement bannir l'IP pendant un certain laps de temps après un nombre x de tentatives de connections infructueuses...
C'est d'ailleurs bizarre que ça ne soit pas implémenté dans Pluxml tant cette mesure de sécurité semble élémentaire...

gravatar
scout123 a dit :

Sur WP, il y a "Limit Login Attempts" : 20 minutes de blocage après 5 erreurs. Après 3 erreurs, le temps sera rallongé à... 24H.

gravatar
enloz a dit :

Je crois que le petit Marocain avait fait un billet sur ce genre d'attaque avec un bash qui bannissait l'IP après x tentatives de connexion. Preuve que l'on est à l'abri de rien. Mais à quel but le petit Marocain est visé ???

gravatar
Androc a dit :

@enloz : son script était pour repousser les brute-force sur son accès SSH. Rien à voir avec son PluXML.

@scout123 : les représailles qui ont été faites ne sont pas très malignes, mais il faut avouer que les articles du petit marocain sur les injections SQL étaient une pure rigolade aussi bien techniquement qu'au niveau orthographe, comme dans tous ses articles.
On aurait dit un discours d'Albanel.

Je suis tout à fait pour la liberté d'expression, mais quand on prétend enseigner des choses ou les faire partager, il faut un minimum de sérieux et pas faire des explications hyper confuses qui tendent à prouver qu'on a rien compris soi même.

Il est totalement vrai que lepetitmarocain a un ego qui n'est pas petit et il insulte vite les gens et les prends de haut dès qu'ils ne sont pas d'accord avec lui. Des exemples, il y en a plein ses commentaires.

Il a commis plusieurs erreurs dont celles de ne pas se tenir à jour sur ses logiciels, notamment PluXML, de se vanter que la brute-force n'est pas fonctionnelle contre lui grâce à son fameux mot de passe "à l'envers".

De plus, je ne crois pas que dans son cas la brute-force est été employée, il y a des moyens bien plus simples d'arriver à ses fins si on veut s'attaquer à son blog et c'est toujours le cas.

Je n'ai rien contre lui, vraiment, mais à ne pas respecter les autres, on s'expose à ce genre de débordement, c'est fatal.

gravatar
sebsauvage a dit :

Sinon contre le brute-force il y a aussi un petit système de bannissement d'IP dans Shaarli, en php et assez simple (3 fonctions: ban_loginFailed(), ban_loginOk() et ban_canLogin()).

4 essais infructueux, et l'adresse IP est bannie pour 30 minutes --> adieu les attaques brute force.

Techniquement simple, mais efficace.

gravatar
DTC a dit :

Bonsoir,

1 - Je suis à l'origine du hack * voir le lien à la fin de mon commentaire.
2 - YB est à l'origine de la découverte de la faille dans Glype et non pas du hack !
3 - Ce n'est pas une attaque par brute force.

EDIT DE Timo : partie modérée.

DTC

gravatar
doku a dit :

Mouais... Ca se passe de commentaire, vu que c'est le niveau 0 de l'intelligence.

gravatar
enloz a dit :

@Le Hollandais Volant:Par respect, supprime le commentaire 9.

gravatar
Anonyme a dit :

Sebsauvage:


4 essais infructueux, et l'adresse IP est bannie pour 30 minutes --> adieu les attaques brute force.



Pour 30minutes seulement ? Il ressayera dans une heure !

@Timo: Supprime le commentaire du déchet.

gravatar
Anonyme a dit :

@Androc : J’avoue que mon article sur les injections SQL manque de clarté. Je vais supprimer celui si, et en refaire un autre plus concis avec plus de clarté dans mes explications.

C'est juste que je n'ai plus le temps ces temps si. Je suis préoccupé par ma migration vers Blogotext ou Wordpress.

Merci.

gravatar
Le Hollandais Volant a dit :

@sebsauvage : je viens d'ajouter un truc dans Blogotext ce matin : 10 tentatives et on bloque (par SESSION pour 30 minutes). Il y avait déjà un truc ainsi dans Freecap, mais maintenant c'est remplacé par un système plus global.

Je compte à terme faire un blocage par IP, je regarderais ton code pour ça :)

@ELK Fayçal : 30 minutes sont largement suffisantes à mon avis. Si le pirate n'arrive pas à hacker facilement un site A, alors il va voir un site B.
S'il veut vraiment défoncer le site A, alors il emploiera une autre méthode que le brute force, crois moi. Le brute force ne sert à rien (surtout avec un mot de passe fort, un captcha piégé et impossible à outre-passer, un filtrage au bout de 10 tentatives et une attente de 30 minutes).

Blogotext permet également d'ajouter une attente de 10 seconde à chaque connexion (de quoi faire chier le pirate encore plus) et il m'est également très possible d'ajouter un blocage définitif avec .htaccess/.htpasswd si je voulais. Ça ne sera vraiment pas rentable de faire des hacks en PHP.

Pour le brute force sur le login FTP, Webou-Pro bannit l'IP au niveau du pare-feu après 5 tentatives loupées (j'en ai fait les frais), donc je pense que niveau sécurité mon site est bien lotti, et le tien aussi du coup.
Reste plus qu'à utiliser des scripts PHP sûrs (attendre que Glype corrige ses failles).

Il y a beaucoup de moyens de protéger son site ou de faire chier les scripts-kidies, suffit de les mettre en place.

Et à ce propos, je recherche un connaisseur pour lancer des attaques sur Blogotext, ou un spécialiste des failes de sécurité PHP. S'il y a des volontaires qui connaissent…

gravatar
tester a dit :

@seb : si on spoof le remote_addr, on peut faire de l'injection avec ton script (l'ip n'est pas protégée)...un conseil : vérifies la syntaxe de l'ip avant de l'écrire dans ton fichier (=>ip2long...ça ne mange pas de pain).

gravatar
tester a dit :

et idem avec HTTP_X_FORWARDED_FOR & co qui pour leur part sont des entêtes ultra facile à forger...;)

gravatar
Petitkoalak a dit :

@le hollandais volant :
le blocage par SESSION ne vaut pas le coup, on change de page et on recommence...
Par COOKIE c'est un peu mieux parce que faut matériellement détruire le cookie
Par BDD c'est la meilleure solution, mais blogotex ne fonctionne pas avec bdd
Il ne reste qu'un fichier texte/xml pour le stockage de l'IP, du temps de départ du ban et celui de fin

Sinon, il y a des tonnes de tutos pour se protéger contre le brute-force ^^

(houlà, fatigué... j'ai mis du temps à trouver la somme du captcha .....)

gravatar
DTC a dit :

Pourquoi avoir modéré mon commentaire?

gravatar
tester a dit :

bah t'es pas intéressant, tu laisses juste planer un doute à propos de glype...on s'en fout de qui a fait quoi, on aimerait juste savoir comment tu t'y es pris. Faut arrêter la branlette à un moment donné hein...

gravatar
gravatar
sebsauvage a dit :

@tester :
Forger le REMOTE_ADDR ? euh... normalement c'est pas lu des entêtes http, non ? comment tu forges ça à part en changeant d'adresse IP ?

gravatar
Divers pseudos selon les sites a dit :

@ Faycal

J'espère que tu avais des sauvegardes ?
(éventuellement l'outil de mirroring mis au point ou recommandé par Sebsauvage ?)

Bonjour Timo, bonjour Seb, salutations.

@ DTC
Tu n'as trouvé que le "petit marocain" comme cible ? Tu t'ennuies ? Tu veux des suggestions de cibles plus utiles à la communauté des internautes ?

gravatar
Divers pseudos selon les sites a dit :

Edit : en fait, c'est reparti... sorry

gravatar
Anonyme a dit :

@ Divers pseudos selon les sites:

Oui Webou-pro mon hébergeur me fait des back-up chaque nuit. Heureusement qu'ils ne m'ont pas demander de payer pour le faire.

Puis les autoblogs miroirs chez Seb et Timo seront toujours disponible au cas ou ...

gravatar
tester a dit :

j'ai pas trop réflèchit au truc mais comme ça à vu de pif, si ton dns est foireux (par exemple), il peut renvoyer une ip/donnée forgée...après apache->php ne vérifient rien, ils prennent juste pour acquis la donnée=>le remote_addr.

Après, ya probablement d'autres manières d'exploiter cette faille je pense, question d'imagination en fait.

gravatar
Divers pseudos selon les sites a dit :

@ Faycal
Super. Courage, à bientôt.

gravatar
adr_elo a dit :

@ELK Fayçal :

Pour info, pour les sauvegardes, je ne compte que sur moi-même :
- sur mon site 1 : un code PHP perso m'envoie par mail la base SQL compressée (une fois par semaine, quand je me connecte).

- sur mon site 2 : j'ai son exacte réplication en local (ce qui me permet de l'améliorer). J'ai aussi un code qui compare les bases distante et locale pour en extraire la différence et l'exécuter sur l'un ou l'autre

On ne sait jamais, avec des personnes comme DTC.

gravatar
Le Hollandais Volant a dit :

@DTC : j'ai édité ton commentaire car il était insultant. Je ne tolèrerais pas que ça se reproduise. Avec toi je doute fort qu'un blocage direct au niveau de l'IP suffise donc je serais contraint de fermer les commentaires.

PS : tu n'est pas obligé de mettre une adresse email sur mon site, tu sais, pas la peine d'inventer des adresse bidon d'une originalité déconcertante…

@Petitkoalak : ça marche très bien la session pour le moment. Change de page ? Pas possible : la session reste active chez moi. Y a juste en changeant de navigateur que ça fonctionne.

gravatar
scout123 a dit :

En parlant de bruteforce, un type a essayé de bruteforcer ma page d'administration WordPress, mais il s'est fait bloquer...

gravatar
Androc a dit :

@Le Hollandais Volant : L'attaquant peut soumettre un cookie de session pour chaque tentative et ça fonctionne très bien du coup, non ?

Lorsque tu dis


Et à ce propos, je recherche un connaisseur pour lancer des attaques sur Blogotext, ou un spécialiste des failes de sécurité PHP. S'il y a des volontaires qui connaissent…

, c'est un appel au hack ? :)

En tout cas, la préconisation de changer le répertoire "admin" de blogotext devrait être plus qu'une simple préconisation, cela devrait être une des étapes de l'installation avec interdiction de mettre certains mots "admin", "administration" car tous les blogs Blogotext sur lesquels je suis tombé ont "admin" comme page d'administration.

gravatar
Le Hollandais Volant a dit :

@Androc :


L'attaquant peut soumettre un cookie de session pour chaque tentative et ça fonctionne très bien du coup, non ?


Anéfé…

Faut donc bien que je fasse autre chose, via un fichier et l'ip par exemple :-/


cela devrait être une des étapes de l'installation avec interdiction de mettre certains mots


Non, je ne force rien moi.
J'ajouterais une indication, c'est tout. À l'installation, je crée un article en brouillon avec quelques infos : liens vers l'aide de blogo, etc. Et le truc pour changer le nom du dossier.


c'est un appel au hack ? :)


Pas de mon site hein, mais de blogotext seul, pourquoi pas.

gravatar
Androc a dit :


Non, je ne force rien moi.

Tu ne forces même pas une robustesse minimum pour le mot de passe admin ? ;)

Du coup, tu peux bien forcer une mesure de sécurité supplémentaire. En plus c'est doublement bénéfique :
- le blog est moins vulnérable
- tu éduques un peu les gens qui se lancent dans l'utilisation d'un blog

gravatar
tester a dit :

Pourquoi veux-tu renforcer la protection timo ? T'as eu un retour de problème ?

gravatar
Anonyme a dit :

"En parlant de bruteforce, un type a essayé de bruteforcer ma page d'administration WordPress, mais il s'est fait bloquer..."

Et qui ta menacé derniérement ? Ouaiiiii...

il utilise brute-force sous Backtrack et avec hydra ....

gravatar
Le Hollandais Volant a dit :

@tester : rien de tout ça, j'ai juste comme motivation de faire un outil de blogage simple mais robuste. Je veux aussi apprendre quelques trucs à éviter dans mes propres (futurs?) scripts PHP (Blogotext étant un projet repris).
Et je pense qu'on ne peut pas se contenter d'en faire le minimum dans le domaine de la sécurité.


@Androc : Euh, pour le mot de passe, je crois que j'indique simplement avec un popup JS que le mot de passe est faible si c'est le cas. Arpès le mot de passe minimal pour l'admin doit faire 6 caractères de long, c'est vrai.


tu éduques un peu les gens qui se lancent dans l'utilisation d'un blog



C'est là justement le sujet de mon prochain big-tuto : l'éducation des nouveaux dans le webmastering/blogging, avec les erreurs à éviter (penser qu'on peut avoir un NDD gratuit ; utiliser des mauvais éléments HTML ; se tromper entre "grey" et "gray" en CSS)…
Y aura vraiment de tout, y compris quelques truc sur le PHP (« never trust user input », – merci au passage à @tester) qui m'a permit à moi aussi de corriger quelques choses : j'avais pas pensé aux IP ou referer facilement modifiables)…
Il y aura également quelques références à mon tuto sur les obligations légales d'un blogueur, sur l'indépendance numérique, l'aide d'autres blogs (d'autoblog, archive, etc.) ou sur l'optimisation des pages, le guide du blogueur détendu de l'ami Sebsauvage, etc).

Bref un bon gros big tuto sur tout ce que le tuto du site zéro ne nous dit pas.

gravatar
Petitkoalak a dit :

@Timo (si tu me le permet bien sûr ^^) :

Je pense que beaucoup de webmaster savent que les NDD ne sont pas gratuit. Mais les NDD du genre *.fr.cr ou *.fr.ht sont tout de même largement plus joli, plus agréable à lire et plus facile à retenir que par exemple www.petitkoalak.host24.com (exemple :) )

Ca serais génial que tu fasses un tuto à propos des systèmes de sécurité édifiable en php ou autre ^^

gravatar
scout123 a dit :

@Fayçal : Non, vraiment ? Tu penses vraiment que ce serait eux ? (air incrédule non crédible)

D'ailleurs, j'ai l'impression que le serveur de Webou-Pro subit des ralentissements... DOS ?

gravatar
Anonyme a dit :

J'en ai presque la certitude (pour ne pas dire que j'en suis sure à 100%). Il a bien utiliser ça contre moi aussi...

gravatar
DTC a dit :

Commentaire modéré.

gravatar
doku a dit :

@DTC
Encore un Kevin qui raconte sa vie inintéressante. Pfff... Tu sais que y'a personne qui lit tes trucs ?
Et à part utiliser un émulateur pour Wii, un Wordpress et aircrack tu sais faire autre chose en informatique ? Parce que là, c'est pas terrible, terrible. Ca reste au niveau utilisateur.

gravatar
Le Hollandais Volant a dit :

@dtc @lpm : merci de régler vos différents ailleurs qu'ici.
(je prévient par avance)

Merci.

@Petitkoalak : les NDD alternatives en nn.tk ou autee, je trouve ca moche au contraire.

Quant à faire un tuto comme celui de la sécurité en PHP, je n'ai pas encore les compétances pour ça. Mais j'y bosse.

gravatar
dnr a dit :

Parmi les mesures de lutte contre la brute-force :

- Changer le répertoire admin bien entendu, mais éviter de se contenter de toto ou tata23, car la page peut elle même être brute-forcée. Et ne pas se dire : ma page est cachée, je vais mettre un mot de passe plus léger parce que je suis bien caché. "Security by obfuscation", ce n'est pas de la sécurité.

- On parle peu des alertes. C'est bien d'avoir un ban sur une IP, un blocage du compte admin ou même un temps de latence (sleep) qui augmente en cas d'erreurs répétées. Mais on ne préconise presque jamais une alerte par exemple par email. Le hacker peut théoriquement faire tourner son script pdt des jours ou des semaines sans que cela attire l'attention. Ce serait bien d'appeler l'admin en renfort :)

- Un CAPTCHA en cas d'erreurs répétées, c'est un ralentisseur de plus.

- Ne pas se contenter de mesurer le taux d'échec par adresse IP sur un blog mono-utilisateur. Si l'attaque est distribuée, ça perd un peu de son sens. En fait, pour un blog perso, plusieurs essais infructueux par minutes sont déjà un signe de tentative d'intrusion, peu importe l'IP d'origine. À supposer que le hacker dispose idéalement d'1 IP par essai, on détecte de toute façon une situation d'attaque avec une simple mesure de vélocité sans tenir compte des IP!

- Laissez tomber les histoires de cookie ou de session. Ça se gère très bien en ligne de commande.

- Ne pas se focaliser sur la seule brute-force (syndrome de la porte blindée alors que le châssis de la fenêtre est moisi et se défonce d'un coup d'épaule)

En tout cas les merveilleux outils tout fait de blogging me semblent bien léger sur cet aspect, c'est un peu regrettable.

gravatar
scout123 a dit :

@dnr : J'ai programmés les alertes automatiquement à chaque blocage ;).

J'ai remarqué que l'on pouvait faire tourner ces scripts de brute-force ou DOS via un serveur d'hébergeur, profitant de sa bande passante et de sa puissance... Effrayant !

gravatar
Androc a dit :

@scout123 : Du coup, en cas d'attaque de masse, tu te retrouves pas un peu spammé ?

Concernant la DDOS que tu trouves effrayante, ça n'aurait pas un rapport avec l'indisponibilité ce matin de vos 3 sites (hollandais, scout, marocain) ?

gravatar
scout123 a dit :

@Androic : Justement, mais il suffit qu'il y ait une attaque pour que tous nos trois sites soient down, vu que nous avons le même hébergeur ;).

Je vais demander à l'hébergeur pour plus d'explications.

gravatar
Androc a dit :

Oui je sais bien, c'est pour ça que j'ai vérifié tout de suite si le site de votre hébergeur n'avait pas également un souci, mais en fait, non.

gravatar
Le Hollandais Volant a dit :

@scout123 : tiens moi (nous) au courant, steuplait :)

@dnr : Merci de toutes ces idées.
Le coup de l'email envoyé après n tentatives loupées (tout IP confondues) est pas mauvaise. Je vais voir si je peux l'ajouter.


Ne pas se focaliser sur la seule brute-force (syndrome de la porte blindée alors que le châssis de la fenêtre est moisi et se défonce d'un coup d'épaule)



Je sais pas trop quels sont les autres moyens d'attaques… Le DDoS, mouais, mais on peut pas faire grand chose là…

Les failles PHP (XSS, etc.) sont normalement corrigées dans Blogotext… Mais je sais pas où chercher…

Mais que je rassures les utilisateurs, je ne compte pas en faire un « OpenBSD » des CMS, ne se focalisant que sur la sécurité^^'.

gravatar
tester a dit :


Le coup de l'email envoyé après n tentatives loupées (tout IP confondues) est pas mauvaise. Je vais voir si je peux l'ajouter.



Et voilà, typiquement le genre de truc totalement inutile : franchement, qu'est-ce qu'il en a à faire des tentatives infructueuses l'admin ? Pourquoi pas lui signaler également les scan de ports qui eux eux-aussi n'ont rien de "naturel" ? Pourquoi ne pas aussi lui signaler les erreurs 404 ? Après tout il n'est pas non plus normal qu'un visiteur/robot cherche une page inexistante ! ETC...

Si tu commences avec ce genre de conneries, t'en finis plus timo...on s'en fout des tentatives avortées bordel ;)

...c'est n'importe quoi.

gravatar
tester a dit :

Et pourquoi ne pas carrément demander par mail l'autorisation de se loger en tant qu'admin ou membre ? Comme ça le réquérant serait le seul à pouvoir se donner l'autorisation (ou pas) de se loger sur son compte via un lien unique !

gravatar
tester a dit :

...dans le formulaire de connexion, tu mets ton identifiant + mot de passe (presque facultatif le mdp...) et un lien unique crypté avec pgp te sera envoyé à ton adresse email à l'occasion de chaque demande de connexion.

Comme ça, non seulement t'as le controle mais en plus t'es informé de chaque tentatives de login sur ton compte...pas bête non ?

gravatar
scout123 a dit :

@tester : J'ai encore mieux. À chaque connexion :
- l'hébergeur doit avertir le webmaster par courrier,
- celui-ci signe un papier, et le renvoie à l'hébergeur,
- on déduit une somme quelconque du compte bancaire du webmaster, afin de confirmer son identité,
- le webmaster doit signer et checker le code de vérification dans ses relevés bancaires,
- l'hébergeur envoie alors une suite de caractères à taper sur le site,
- pendant qu'il tape, un logiciel vérifie la fréquence et la vitesse de frappe, afin d'estimer l'identité de la personne.

Digne du FBI, ça :).

gravatar
Androc a dit :

Ou sinon vous vous authentifiez à l'aide d'un certificat :)

@scout123 : c'est normal que ton article sur l'anti spam ai disparu ?

gravatar
Le Hollandais Volant a dit :

@tester : on parle pas d'une erreur 404, mais d'une page interdite d'accès et protegee par mot de passe.

L'envoie d'un mail quand n connexions sont loupés de suite me semble une bonne idée : ça laisse le temps de modifier le nom du dossier et donc de prévenir une intrusion.

Mais si vous insistez je peux coder un truc pour vzérifier avec empreintes digitales et documents d'identités.

gravatar
tester a dit :


mais d'une page interdite d'accès et protegee par mot de passe.



Voilà, t'as tout dis...

gravatar
Le Hollandais Volant a dit :

Et ben justement : avant que le hacker tapes 500 mots de passes pour éssayer de deviner le bon, il faut peut-être prévenir le webmaster non ?

Si un voleur est en train de crocheter ta serrure, il est pas mal d'avoir une alarme qui dit qu'on touche à ta porte avant que la porte soit effectivement ouverte.

Enfin, je pense que c'est une protection supplémentaire pas compliquée à ajouter.

gravatar
Petitkoalak a dit :

Sauf que le voleur est avertit et s'arrête là. Le hacker ne saura pas que tu auras été avertis et continuera jusqu'à ce qu'il réussisse...

gravatar
scout123 a dit :

@Androc : Oui, je l'ai supprimé, car il était apparemment bourré d'erreurs. D'ailleurs de nouveaux spammers semblent passer la nouvelle protection sans problème :o.

gravatar
Le Hollandais Volant a dit :

@Petitkoalak : vous comprenez pas.
Il s'agit comme le dit DNR de ramener l'Admin sur le terrain de la bataille.

À ce moment là, il peut changer la porte de place *avant* qu'elle ne soit forcée (renommer le dossier admin).

gravatar
Petitkoalak a dit :

Ah ! Tu veux qu'il y ait réplique instantané du webmaster... Mais faut être sur son ordi, et comme je suis lycéen, ça complique les choses... M'enfin, c'est une bonne solution pour toi ;)

Et pourquoi ne pas changer l'addresse du dossier admin automatiquement par PHP (avec envoie de mail) ?

gravatar
Le Hollandais Volant a dit :

Y'a quand même un écart entre voir ses mails et vérifier si son site est sous une attaque : perso je regarde mais mail presque tous les jours, par contre je ne me connecte pas à mon site tout le temps non plus.



Et pourquoi ne pas changer l'addresse du dossier admin automatiquement par PHP (avec envoie de mail) ?


Mouais possible aussi.

Je pense faire autrement : bloquer toute connexion au panel après X tentatives loupées. Le déblocage ne pourra alors se faire que par intervention du webmaster au niveau FTP (suppression d'un fichier bloquant).

Quitte à ne pas l'intégrer par défaut, au moins ajouter cette fonction parmi les fonctions avancés ancrées en dur dans le code source PHP.

:-/

gravatar
dnr a dit :


Et pourquoi ne pas carrément demander par mail l'autorisation de se loger en tant qu'admin ou membre ?



Authentification multi-facteurs, mot de passe et lien à suivre ou code PIN dans l'email, c'est très bon. Sans doute un peu pénible mais c'est un compromis entre sécurité et facilité, comme souvent. Un multi-facteurs activable à souhait aurait une bonne valeur ajoutée : les paranos ou ceux qui se sont déjà fait attaquer l'activeraient, et les autres se contenteraient du mot de passe.

Attention évidemment à ne pas envoyer des emails à la moindre tentative de connexion. On peut pour commencer n'afficher aucun message d'erreur lors de l'utilisation du premier facteur (on ne dit rien en cas de mdp incorrect) pour éviter le leaker de l'info et on n'envoie pas d'email. Bref, comme d'hab quand ça a l'air faussement simple, bien réfléchir à tous les aspects avant de se lancer là-dedans.


Ou sinon vous vous authentifiez à l'aide d'un certificat


Techniquement bon mais pas adapté. Si tu dois te connecter, ne serait-ce qu'en cas d'urgence (spam attack, marrée noire de trolls, intrusion) et que tu n'as pas ton certificat avec toi, tu risques d'être bien embêté. Le multi-facteur mdp+mail a l'avantage d'être utilisable sur n'importe quel ordi ou smartphone, même en vacances. Surtout, ici, on est dans une approche moins "entreprise" que "luser". En dehors des geeks, le blogger lambda aura bien du mal à utiliser son certificat. Toujours imaginer un vrai être humain utilisant le blog / le CMS :)

Je pense pas qu'il faille chercher un système hautement sécurisé qui imposerait en contre-partie des contraintes trop fortes. Il faut juste passer un cran au-dessus de la page accessible sur /admin protégée par un mot de passe en laissant à l'attaquant un nombre illimité d'essais et erreurs.

gravatar
tester a dit :

Ah, enfin quelqu'un qui prend au sérieux mes suggestions.


Attention évidemment à ne pas envoyer des emails à la moindre tentative de connexion.



sauf si tu demandes un mdp + identifiant pour après recevoir un mail de confirmation (pgp était une blague : tu peux très bien générer un query string encrypté avec une ip "implodéé" dedans...

Ce n'est pas difficile à coder, c'est juste une étapes de plus pour le membre (au lieu de se loger directement avec son mdp + identifiant, il lui faudra encore consulter ses mails pour ensuite cliquer sur le lien "login"...mais t'as raison sur un point : méthode pour parano ;)

gravatar
tester a dit :


Ou sinon vous vous authentifiez à l'aide d'un certificat



c'est la meilleure méthode mais en php...pas possible ;)

gravatar
tester a dit :

...ceci dit ma méthode est IMPARABLE contre un force brut...

gravatar
tester a dit :

Partant de ce postulat, la question à se poser maintenant : comment peut-on automatiser ce processus de sorte que seul le mdp + id suffisent à se loger directement...

Des idées les blaireaux ? (moi j'en ai...)

gravatar
petitkoalak a dit :

une petite méthode que j'emploie et de vérifier par des SESSION ou COOKIE (ou peu importe) le client et que s'il ne correspond pas, on le fait attendre un temps aléatoire puis on lui envoie une erreur 404 ;)

gravatar
Le Hollandais Volant a dit :

Hé doucement, j'ai dit que je voulais faire un moteur de blog sécurisé mais ne tombons pas dans l'exces : c'est pour tout le monde, pas pour la Nasa ni la Cia…

Mais merci des idées, je pense qu'ils seront utils un jour :-)

gravatar
tester a dit :


Des idées les blaireaux ? (moi j'en ai...)



...donc pas d'idée.

Bon allez bye ;)

gravatar
Lyes a dit :

Je cite : "Pour 30minutes seulement ? Il ressayera dans une heure !"

Quelle réflexion digne d'un singe...

Si on prend 4 tentatives / 30minutes, il faut compter plusieurs siècles pour casser un mot de passe comme JaimeLaBiere2Bretagne...juste le temps que certains développent un sens logique...

Epic fail.

Les commentaires sont fermés pour cet article