Note : petite info sur Blogotext et la connexion admin
On peut choisir de rester connecter à sa session admin (ça évite d’avoir à taper le mot de passe à chaque fois).
Parfois ça se déconnecte quand même : pourquoi ?
Par défaut, Blogotext détecte votre session sur 3 choses. Un option avancée permet d’en activer une autre.
Les trois choses que Blogotext détecte sont :
– la session (cookie)
– le navigateur (user-agent)
– le mois en cours (août, présentement)
Si une de ces choses change, la session est détruite et il faut se reconnecté.
– Le cookie est modifié par exemple si votre navigateur efface les cookies à la fermeture. Si votre navigateur ne fait pas ça, alors vous resterez connectés : le cookie est renouvelé à chaque accès, pour une durée de 1 an. Il faut donc que vous ne vous connectiez pas durant 1 an pour que le cookie devienne obsolète.
— L’user-agent est modifié à chaque mise à jour du navigateur. Ceci empêche de pouvoir transférer un cookie d’un navigateur à un autre, mais oblige de se reconnecté à chaque nouvelle version du navigateur.
– Le mois en cours : j’ai constaté l’usage de ce paramètre sur plusieurs sites et je le trouve sympa : il déconnecte donc la session une fois par mois. Ça évite donc que la session reste active plus de 31 jour de suite.
Je l’ai ajouté depuis quelques temps car je pense que c’est une bonne pratique : taper son mot de passe une fois par mois n’est pas la mer à boire, et ça empêche à quelqu’un d’avoir un accès indéfini à votre compte, si un jour il avait accès à votre ordinateur ou session.
Cette limite est arbitraire : j’ai mis 1 mois par commodité, tout simplement.
Il y a aussi une option avancée, pour les power-users et accessible uniquement par FTP. Dans le fichier /config/config-advanced.ini (créé lors d’une nouvelle install, sinon créer ce fichier), il y a une variable « use_ip_in_session ».
Mettez simplement « use_ip_in_session = 1 » pour ajouter la variable d’IP dans la session : de cette façon, si votre adresse IP change, votre session se déconnectera.
Si je n’ai pas voulu activer ça dans la configuration par défaut (use_ip_in_session = 0), c’est parce que votre session sera déconnectée constamment si vous êtes en 3G/4G en déplacement : l’IP étant fixe à l’antenne relais auquel votre téléphone se connecte. C’est aussi peu pratique si vous utilisez un proxy, un VPN ou Tor qui changent de nœud ou de point de sortie toutes les 5 minutes. L’activer augmente largement la sécurité, par contre (ÉDIT: en fait, c’est activé par défaut, ça ne le sera pas dans la version 3 finale).
Souvenez-vous aussi que vous pouvez déplacer l’accès au panel Admin : renommez simplement le dossier "admin" en autre chose et accédez à ce dossier là. Tout fonctionnera normalement, mais le panel sera aussi introuvable que votre mot de passe (si vous prenez un nom de dossier complexeou réel, c’est vous qui voyez)). Attention cependant au référer : si votre navigateur envoie le référer à un lien cliqué depuis le panel admin, c’est foutu.
Cette astuce permet également d’attribuer au dossier /admin (nom par défaut) une fonction « honney-pot » : mettez une fausse page de Login à cet endroit et regardez les spammeurs se casser les dents dessus. À la limitez, ajoutez un script qui envoie toute tentative de connexion sur cette fausse page vers une règle fail2ban et vous bloquez les spameurs/attaquants directement au niveau du pare-feu. Puissant, no ?
Parfois ça se déconnecte quand même : pourquoi ?
Par défaut, Blogotext détecte votre session sur 3 choses. Un option avancée permet d’en activer une autre.
Les trois choses que Blogotext détecte sont :
– la session (cookie)
– le navigateur (user-agent)
– le mois en cours (août, présentement)
Si une de ces choses change, la session est détruite et il faut se reconnecté.
– Le cookie est modifié par exemple si votre navigateur efface les cookies à la fermeture. Si votre navigateur ne fait pas ça, alors vous resterez connectés : le cookie est renouvelé à chaque accès, pour une durée de 1 an. Il faut donc que vous ne vous connectiez pas durant 1 an pour que le cookie devienne obsolète.
— L’user-agent est modifié à chaque mise à jour du navigateur. Ceci empêche de pouvoir transférer un cookie d’un navigateur à un autre, mais oblige de se reconnecté à chaque nouvelle version du navigateur.
– Le mois en cours : j’ai constaté l’usage de ce paramètre sur plusieurs sites et je le trouve sympa : il déconnecte donc la session une fois par mois. Ça évite donc que la session reste active plus de 31 jour de suite.
Je l’ai ajouté depuis quelques temps car je pense que c’est une bonne pratique : taper son mot de passe une fois par mois n’est pas la mer à boire, et ça empêche à quelqu’un d’avoir un accès indéfini à votre compte, si un jour il avait accès à votre ordinateur ou session.
Cette limite est arbitraire : j’ai mis 1 mois par commodité, tout simplement.
Il y a aussi une option avancée, pour les power-users et accessible uniquement par FTP. Dans le fichier /config/config-advanced.ini (créé lors d’une nouvelle install, sinon créer ce fichier), il y a une variable « use_ip_in_session ».
Mettez simplement « use_ip_in_session = 1 » pour ajouter la variable d’IP dans la session : de cette façon, si votre adresse IP change, votre session se déconnectera.
Si je n’ai pas voulu activer ça dans la configuration par défaut (use_ip_in_session = 0), c’est parce que votre session sera déconnectée constamment si vous êtes en 3G/4G en déplacement : l’IP étant fixe à l’antenne relais auquel votre téléphone se connecte. C’est aussi peu pratique si vous utilisez un proxy, un VPN ou Tor qui changent de nœud ou de point de sortie toutes les 5 minutes. L’activer augmente largement la sécurité, par contre (ÉDIT: en fait, c’est activé par défaut, ça ne le sera pas dans la version 3 finale).
Souvenez-vous aussi que vous pouvez déplacer l’accès au panel Admin : renommez simplement le dossier "admin" en autre chose et accédez à ce dossier là. Tout fonctionnera normalement, mais le panel sera aussi introuvable que votre mot de passe (si vous prenez un nom de dossier complexe
Cette astuce permet également d’attribuer au dossier /admin (nom par défaut) une fonction « honney-pot » : mettez une fausse page de Login à cet endroit et regardez les spammeurs se casser les dents dessus. À la limitez, ajoutez un script qui envoie toute tentative de connexion sur cette fausse page vers une règle fail2ban et vous bloquez les spameurs/attaquants directement au niveau du pare-feu. Puissant, no ?