Sécurité des fichier uploader ?

santinisantini Member
dans Discussions générales
Bonsoir :)
Je voudrais savoir concernant la sécurité,
Est ce que pluxml est fiable face a un aspirateur de site web ou autre..
Je m'explique, je voudrais héberger divers fichier (zip, pdf, photos, etc..) sur mon site dans un dossier créer via l'administration et uploader les fichiers via cette derniere.
Si une personne utilise un aspirateur de site ou autre, pourra t'il aussi aspirer les document uploader dans le dossier en question ?

En vous remerciant :)

Réponses

  • PierrePierre Member
    L'étape du upload n'est pas celle qui met à risque face aux visiteurs qui tirent tout ce qu'ils peuvent des répertoires. Le risque d'un upload imprudent est l'injection de fichiers malicieux qui empruntent le chemin du upload en question. Il faut donc utiliser un script qui valide d'une façon ou d'une autre (même plus d'une est fortement suggéré) pour assurer que tout ce qui monte à bord est bien propre.

    Vient ensuite le point mentionné des aspirateurs. PluXml fait un premier effort en empêchant les scanneurs de "lire" les répertoires sans connaître leur contenu. On remarque un mignon fichier index.html complètement vide dans tous les répertoires, c'est une première ligne de défense. Loin d'être Fort Knox, ça fait le travail pour empêcher les renifleurs mais ça permet à quiconque de télécharger (ou d'exécuter) tout ce qui s'y trouve en nommant le fichier correctement.

    La question est simple. PluXml est un gestionnaire de contenu de site web. Si un fichier est monté sur le site, pourquoi est-il là si personne n'a le droit de le regarder? Si seul l'administrateur a le droit de le consulter, pourquoi utiliser un gestionnaire de contenu de site web et pas simplement utiliser par exemple FTP ou un logiciel gestionnaire de document?

    Avec un peu de détail sur ce qui est désiré comme contexte, des solutions viendront, tout est possible.
  • kowalskykowalsky Member
    Il y a des techniques de protection contre les aspirateurs web mais cela ne se fera pas via PluXml, dont ce n'est pas le travail.

    Une première approche consistera à protéger ton répertoire de partage par .htaccess et .htpasswd (si ton serveur tourne sous apache).

    Tu trouveras un début d'informations sur cette page "https://ouvaton.coop/proteger-par-htpasswd"
  • santinisantini Member
    octobre 2016 modifié
    Bonjour,
    Merci beaucoup pour vos réponses,
    Le souci pour moi n'est pas principalement lors de l'upload, mais surtout de bien protéger les fichiers déjà uploader.
    Je m'explique, je vais utiliser le plugin adhésion et proposer un abonnement payant a l'année, les visiteur aurons accès a tout le site, mais seul les membre pourrons "télécharger" les fichiers héberger sur le site. Rien d'illégale hein ;)
    Pour le bouton "telecharger" je vais utiliser le plugin "HrefDownload v1.0" le bouton sera visible dans les articles uniquement pour les membres inscrit.
    Voila pourquoi je doit être sur que les fichier uploader soit en sécurité.
    En vous remerciant.
  • PierrePierre Member
    Toute la sécurité reposera sur le machin qui gère les mots de passe. Je ne sais pas ce que fait le plugin d'adhésion mais c'est un bon point de départ. Le principe est de vérifier sans arrêt si un visiteur a ou non les droits de visiter chaque page où ll se déplace et à nouveau au moment du téléchargement, donc s'il a été validé à son entrée avec son mot de passe. PluXml n'ayant pas ce genre de système à part pour séparer les admin du "peuple", il ne va pas jusque là. Le plugin prend la relève, tu peux voir avec son créateur, j'imagine.
  • DjbWebmasterDjbWebmaster Member
    @santini

    il existe un trés bon tutoriel sur la sécurisation des fichiers à télécharger

    https://www.grafikart.fr/tutoriels/php/telecharger-fichiers-php-760

    Bye
    Djb
  • santinisantini Member
    Merci pour votre aide, je vais consulter le tutoriel ;)
Connectez-vous ou Inscrivez-vous pour répondre.