Sécuriser et protéger son site web
8 messages
• Page 1 sur 1
Consultez la formation à Google Analytics de WebRankInfo / Ranking Metrics
- staboolx
- Nouveau WRInaute
- Messages: 5
- Inscription: 2 Oct 2007
Sécuriser et protéger son site web
le Mar Oct 02, 2007 9:17
Bonjour à tous,
J'ai trouvé un lien fort interressant sur le forum OVH concernant la sécurisation d'un site web. Tout (ou presque) se passe via le fichier .htaccess.
Les thèmes abordés sont :
- Les droits d'écriture, de lecture et d'exécution
- Les mots de passe
- Register_Globals sur OFF
- Interdire l'accès au .htaccess depuis le navigateur
- Interdire de lister le contenu d'un dossier
- Exclure les logiciels suspects utilisés par les pirates et certains aspirateurs de site web
- Autorise l'affichage que de certains fichiers
- Interdiction du hotlinking
- Bloquer certaines requêtes bizarres
- Bloquer toute une série de failles potentielles
- Bloque la plupart des commandes de scripts
- Crypter son fichier config.inc.php
- Installation d'une base SQL
- ...
- Cryptez votre adresse e-mail
- ...
Source : http://forum.ovh.com/showthread.php?t=19263
Qu'en pensez vous?
Utilisez vous d'autres techniques?
J'ai trouvé un lien fort interressant sur le forum OVH concernant la sécurisation d'un site web. Tout (ou presque) se passe via le fichier .htaccess.
Les thèmes abordés sont :
- Les droits d'écriture, de lecture et d'exécution
- Les mots de passe
- Register_Globals sur OFF
- Interdire l'accès au .htaccess depuis le navigateur
- Interdire de lister le contenu d'un dossier
- Exclure les logiciels suspects utilisés par les pirates et certains aspirateurs de site web
- Autorise l'affichage que de certains fichiers
- Interdiction du hotlinking
- Bloquer certaines requêtes bizarres
- Bloquer toute une série de failles potentielles
- Bloque la plupart des commandes de scripts
- Crypter son fichier config.inc.php
- Installation d'une base SQL
- ...
- Cryptez votre adresse e-mail
- ...
Source : http://forum.ovh.com/showthread.php?t=19263
Qu'en pensez vous?
Utilisez vous d'autres techniques?
- Djoudje
- WRInaute discret
- Messages: 231
- Inscription: 29 Mai 2007
le Mar Oct 02, 2007 10:31
je fais une petite reco pour ce post, très intéressant et super complet.
Juste une question: on dit que le htaccess est gourmand en ressources, mettre en oeuvre toutes les préconisations ne va-t-il pas ralentir le serveur?
Juste une question: on dit que le htaccess est gourmand en ressources, mettre en oeuvre toutes les préconisations ne va-t-il pas ralentir le serveur?
-
Jeviensderio - WRInaute passionné
- Messages: 1340
- Inscription: 29 Sep 2006
le Mar Oct 02, 2007 12:02
On a la sécurisation mutualisée sur OVH et la version dédiée sur WRI.
Merci pour ces liens.
Merci pour ces liens.
- marion17
- WRInaute impliqué
- Messages: 518
- Inscription: 11 Nov 2006
le Mar Oct 02, 2007 15:49
merci de ce message, petite question technique :
### FILTRE CONTRE XSS, base64_encode SALETE , DEFINIR VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
RewriteRule (.*) - [F]
Il faut mettre quoi dans les variable "GLOBAL" et "_REQUEST" svp ? le simple nom de domaine ? ca detecte tout seul ?
et comme Djoudje j'aimerais savoir si il consomem beaucoup de ressource CPU le Htacess bien garni, surtout pour le filtre anti aspirateur , car il verifie a chaque affichage le user agent et le compare a la longue liste ?
merci
merci
### FILTRE CONTRE XSS, base64_encode SALETE , DEFINIR VARIABLE PHP GLOBALS VIA URL, MODIFIER VARIABLE _REQUEST VIA URL
RewriteCond %{REQUEST_METHOD} (GET|POST) [NC]
RewriteCond %{QUERY_STRING} ^(.*)(%3C|<)/?script(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)(%3D|=)?javascript(%3A|:)(.*)$ [NC,OR]
RewriteCond %{QUERY_STRING} ^(.*)document\.location\.href(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)base64_encode(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)GLOBALS(=|[|%[0-9A-Z]{0,2})(.*)$ [OR]
RewriteCond %{QUERY_STRING} ^(.*)_REQUEST(=|[|%[0-9A-Z]{0,2})(.*)$
RewriteRule (.*) - [F]
Il faut mettre quoi dans les variable "GLOBAL" et "_REQUEST" svp ? le simple nom de domaine ? ca detecte tout seul ?
et comme Djoudje j'aimerais savoir si il consomem beaucoup de ressource CPU le Htacess bien garni, surtout pour le filtre anti aspirateur , car il verifie a chaque affichage le user agent et le compare a la longue liste ?
merci
merci
- staboolx
- Nouveau WRInaute
- Messages: 5
- Inscription: 2 Oct 2007
le Mar Oct 02, 2007 16:39
marion17 a écrit:
Il faut mettre quoi dans les variable "GLOBAL" et "_REQUEST" svp ? le simple nom de domaine ? ca detecte tout seul ?
Tu n'a rien à ajouter, l'expression régulière regarde si "GLOBAL" ou "_REQUEST" sont saisis dans l'adresse et applique la règle de réécriture.
marion17 a écrit:et comme Djoudje j'aimerais savoir si il consomem beaucoup de ressource CPU le Htacess bien garni, surtout pour le filtre anti aspirateur , car il verifie a chaque affichage le user agent et le compare a la longue liste ?
Ca serait interressant à connaitre en effet...
-
Jeviensderio - WRInaute passionné
- Messages: 1340
- Inscription: 29 Sep 2006
le Mar Oct 02, 2007 18:13
marion17 a écrit:et comme Djoudje j'aimerais savoir si il consomem beaucoup de ressource CPU le Htacess bien garni, surtout pour le filtre anti aspirateur , car il verifie a chaque affichage le user agent et le compare a la longue liste ?
Je pense que le temps de traitement d'un fichier texte est négligeable par rapport au temps de transfert sur le Net. Moins d'un dixième de seconde.
-
smart-http - WRInaute discret
- Messages: 125
- Inscription: 25 Mai 2007
le Sam Oct 06, 2007 13:37
Merci pour ces informations
8 messages
• Page 1 sur 1
Formation recommandée sur ce thème :
Formation Google Analytics : en 2 jours, apprenez comment exploiter l'essentiel des possibilités de l'outil de mesure d'audience de Google. Formation animée par les experts Google Analytics de Ranking Metrics.
Tous les détails sur le site Ranking Metrics : programme, prix, dates et lieux, inscription en ligne.
Lectures recommandées sur ce thème :
- Sécuriser/protéger un site contre d'éventuelles attaques
- sécuriser un service web ?
- protéger son site web des injections
- solutions pour protéger un site web (design, contenu...)
- Sécuriser un Cookie d'authentification
- Sécuriser son Pc Reflexions
- Sécuriser WordPress et IPB
- sécuriser un serveur postfix ?
- sécuriser un site au minimum
- Sécuriser les formulaires
- Comment protéger sa vie privée sur Internet - 05-05-2008
- Utilisation des données WHOIS par Google - 09-05-2006
- Google Secure Access (GSA) - 20-09-2005
- Classement Xiti/1ère Position des outils de recherche en France - Août 2002 - 05-09-2002
- Le code source du projet de recherche géographique est disponible - 05-06-2002
- La justice américaine conforte Google - 01-06-2003
- Trouver son checksum Google avec la toolbar (barre d'outils) - 20-10-2002
- Protégez-vous contre le nofollow - 21-01-2005
Consultez la description détaillée des produits ou services de Google suivants : Google Secure Access
- Voir la classe C de plusieurs sites
Cet outil vous permet de vérifier si plusieurs sites sont hébergés sur la même classe C (adresse IP du serveur).
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
Contact
Confidentialité