> Kitetoa a écrit : > Sur Reflets.info, il y a une authentification et pourtant... tout notre > contenu (sauf le back office) est accessible à tous.
Eh bien, si tu ne veux pas que le contenu de ton back office se retrouve sur gougleu, il y a quelques précautions à prendre (et je ne suis pas un spécialiste en la matière). 1. Faut que çà soit un header http différent avec un nom différent, par exemple backoffice.reflets.info. Donc en fait, un site web différent avec une racine différente. 2. Faut que le serveur HTTP demande obligatoirement une session authentifiée pour n'importequoi sur backoffice.reflets.info, avec un délai d'inactivité. 3. Faut que l'entrée DNS soit publiée sur le serveur DNS interne seulement, pas vers le monde. Même si l'url interne leake (çà arrive tout le temps), l'araignée de gougleu ne pourra pas résoudre le nom. 3. Faut que le dossier contenant ces fichiers soit ailleurs que dans l'arborescence du contenu accessible à tous. Ca évite les petits malins qui remontent l'arborescence de par le bas. 4. Faut que les droits d'accès à ce dossier soir restreints aux utilisateurs ayant le droit de regarder, au niveau du système d'exploitation. Même si toutes les précautions au niveau http ont été hackées, l'OS lui-même refusera de servir le fichier car l'utilisateur pour l'accès anonyme n'a pas le droit. 5. Faut que backoffice.reflets.info réponde uniquement sur une IP interne différente de reflets.info (ce qui n'empêche pas de l'avoir sur le même serveur). 6. Faut que l'IP interne en question ne soit pas NATée vers l'extérieur. 7. Faut éviter les trucs genre username kitetoa password kitetoa. Un site web sécurisé, on ne le met pas sur un site web accessible au public. Surtout pas le site web sécurisé d'une agence du gouvernement. Si ton back office il est quelque part sur reflets.info/backoffice, faudra pas venir râler le jour ou tu te fais hacker. Michel. --------------------------- Liste de diffusion du FRnOG http://www.frnog.org/
