Mon hebergeur ne protege pas mon site web

**le Mar Sep 22, 2009 12:33**

Bonjour,
Un petit topic sur la sécurité (oui encore)
Dernierement je cherchais un hebergeur pouvant sécuriser mon site internet.
La réponse fut la même pour 90% : nous protégeons l'infrastructure et le réseau via des firewall réseau mais les ports web 80 ne sont pas sécurisé et la sécurité de se port reste a la charge de nos client en developpant leurs site internet proprement.

Est ce du foutage de geule ?

**le Mar Sep 22, 2009 12:34**

Non.
Comment veux-tu qu'ils protègent contre les failles des scripts des clients?

**le Mar Sep 22, 2009 12:39**

via un firewall applicatif ...

**le Mar Sep 22, 2009 12:44**

Un firewall applicatif? Jamais entendu ça :mrgreen:

Ce serait trop dur (voir impossible) pr eux de vérifier tous les scripts des clients.
Tu imagines tout ce qu'il faudrait vérifier? Ex: http://www.milw0rm.com/ et http://insecure.org/sploits.html

**le Mar Sep 22, 2009 12:56**

Ben oui, un noob fait un formulaire de connexion simple, sans traiter côté serveur les entrées du formulaire, et fait ensuite le test de couple login / mot de passe dans la même requete SQL, paf une belle faille de sécurité. Que veux tu qu'ils puissent y faire ? Ils vont pas auditer tout le code des sites qu'on place sur leurs serveurs non plus .

**le Mar Sep 22, 2009 12:58**

Bonjour,

pour obtenir une sécurisation du serveur à la demande, il faut opter pour une infogérance : ce n'est pas gratuit car cela demande du travail à d'excellents techniciens. Les hébergeurs ne disent pas non pour tout, ils répondent, "non" dans le cadre d'une offre en mutualisé... Ensuite, ils disent oui sur des serveurs dédiés avec un coût (assez élevé).

**le Mar Sep 22, 2009 13:03**

http://www.cortina.fr/_firewall-applicatif.php

premiers liens dans google

**le Mar Sep 22, 2009 14:59**

Il n'y a pas de miracle, il ne peut pas y avoir de sécurité absolue. Mais quelques mesures à prendre:
- si tu utilises des softs existants, s'assurer que tu as toujours la dernière version.
- si tu développes toi-même, toujours vérifier toutes les entrées côté serveur, et bien "quoter" comme il faut tout ce que tu passes à ton serveur SQL (c'est nettement plus simple avec perl/DBI ou en utilisant PDO en php, mais c'est faisable). Ditto si jamais tu utilises "system" ou que tu construits des noms de fichiers avec des données externes
- utiliser un outil de test d'intrusion (McAfee Secure, Komodo, etc.)
- utiliser un outil de détection d'intrusion (snort etc.)
- un firewall avec des règles "dynamiques" (mises à jour régulièrement comme avec un anti-virus) pourra aussi aider à lutter contre les failles connues dans les softs existants.

Il est difficile voire impossible de filtrer et bloquer toutes les failles a priori: ce n'est pas parce qu'il y a un bout de SQL dans une requête que c'est forcément anormal (hint: phpmyadmin etc.), et je ne parle même pas de l'envoi de binaires (pour les attaques par buffer overflow etc.). En plus, il y a beaucoup de choses qui sont facilement faisables en "asynchrone" sur du mail par exemple, où un délai de quelques secondes pendant qu'un anti-virus filtre tout n'est pas bien grave, contrairement à un site web où il faut que ça aille vite.

Bref, non trivial, et je trouve normal que tu ne trouves pas ça dans les offres toutes cuites de la plupart des hébergeurs...

Jacques.

**le Mar Sep 22, 2009 15:52**

cr500 a écrit:via un firewall applicatif ...

et la marmotte... :roll:

**le Mar Sep 22, 2009 15:57**

quand tu achètes une voiture, il ne garantissent pas que tu n'aura jamais d'accident ! c'est impossible.
applique la réponse à un site web

**le Mar Sep 22, 2009 16:56**

cr500 a écrit:http://www.cortina.fr/_firewall-applicatif.php

premiers liens dans google

d'abord il faut comprendre ce qu'est un firewall applicatif : un firewall applicatif n'est autre qu'une application (ou appliance) dédié à protéger une ou plusieurs applications connues dont les protocoles et les modes de fonctionnement sont bien définis !

tu peux toi même écrire un firewall applicatif pour ton site si tu métrise bien ces entrée/sorties, d'ailleurs, c'est ce que chaque développeur d'application web sérieux fait sans s'en rendre compte.

Le firewall applicatif n'est qu'une suite de testes pour valider une entrée.
exemple très simple, on peut facilement créer un script qui interdit tous les mots clé SQL pour interdir les injections.

ceci dit, l'écriture d'une firewall applicatif générique est impossible, puisque fort dépendant de ce que tu veux protéger.

Le meilleur moyen de se protéger reste le fameux bon vieux "daily backup", un petit script .sh, un cron job. et on a la garantie de retrouver au moins les données de la veille en cas de pepin.

Mon hebergeur ne protege pas mon site web

Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Re: Mon hebergeur ne protege pas mon site web

Formation recommandée sur ce thème :

Lectures recommandées sur ce thème :

Qui est en ligne