/!\ Admins Categorizator /!\

[Audiofeeline]

Bonjour à tous,
Un petit message à tous ceux qui ont un annuaire Categorizator.
L'administration fonctionne avec des sessions, c'est à dire qu'en gros on vous donne une clé crypté en md5 (il me semble) qui permet d'avoir accès aux options.

Le truc c'est qu'il faut faire attention quand vous validez une url car si vous cliquez sur le lien pointant vers un site dans l'admin, le référent pour ce site sera l'adresse avec votre id de session, ce qui signifie que si on regarde les référents ont trouve ce fameux lien et on peut donc controler l'administration de l'annuaire...

On l'a répété assez souvent mais quand vous avez fini avec l'admin déconnectez-vous !
Ensuite évitez de cliquez sur les liens depuis l'admin (ou alors faudra une solution)...

Je post ce message car aujourd'hui encore j'ai 4 ou 5 annuaires référents où j'ai pu aller dans l'admin. Bon j'ai rien cassé mais si j'avais été vache j'aurai pu tout supprimer !

Si quelqu'un à une soluce à ça qu'il n'hésite pas à poster ici.
Je pense qu'il était bon de rafraichir la mémoire des gentils admins d'annuaires...

[bed]

Sur un serveur apache tu peux mettre un htpasswd avec un htaccess pour restreindre la zone par mot de passe dans ton dossier admin.

http://www.toulouse-renaissance.net/c_o ... passwd.htm

[keroin]

+1 j'ai un htpasswrd en plus du code d'accès simple de categorizator sur mon dossier d'admin et rien ne peut passer

[Audiofeeline]

Bon j'ai fouiné un peu et il y a une petite technique qui permet de de faire une redirection vers les sites.

On fait un redirect.php et on passe l'adresse dans l'url par exemple :
-http://example.com/redirect.php?url=http://unsitesuper.com/
Il faut modifier l'admin où les liens apparaissent de cette façon le référent est http://example.com/redirect.php?url=htt ... super.com/ et plus le lien admin avec l'ID de la session...

C'est du bricolage mais ça fonctionne semble-t-il...

[bertimus]

En complément de ton annonce audiofeeline, description du pproblème posé + solutions envisagées : http://www.seoblackout.com/2007/06/17/p ... -annuaire/

Comment se prémunir contre ce type d’attaque ?
[...]
Soit passer par une page intermédiaire ne contenant plus l’id de session dans l’url, lorsque que l’on souhaite visiter les sites à valider (facile à mettre en place).

Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer.

[keroin]

Soit utiliser un navigateur comme Firefox et désactiver l’envoi du referer.

M'intéresse ça mais un peu trop fatigué pour fouiller, tu sais comment on désactive le referer sous FF ?

[bertimus]

Hum ben c'est pas la meilleure solution pour un webmaster...

Puisque le referer n’est pas tracé, les programmes d’affiliation peuvent ne pas enregistrer correctement une transaction

http://www.1ere-position.fr/blog/surf-a ... us-firefox

[Audiofeeline]

Hum ben c'est pas la meilleure solution pour un webmaster...

Puisque le referer n’est pas tracé, les programmes d’affiliation peuvent ne pas enregistrer correctement une transaction

:/ Pas glop !

[keroin]

Bon bah autant faire un petit htaccess comme ça on est tranquille^^
Merci pour le lien quand même Bertimus

[bertimus]

Si justement.

Il m'arrive d'enregistrer des commandes par téléphone pour une poignée de mes visiteurs, donc non non, hors de question que je fasse ça

[Audiofeeline]

Bon bah autant faire un petit htaccess comme ça on est tranquille^^
Merci pour le lien quand même Bertimus

L'idée de la page de redirection est plus souple, ça évite d'avoir à taper deux fois un mot de passe.
Notez aussi qu'il est bon de changer le nom du dossier d'admin...