Probleme de securité

Bonjour j’ai un probleme avec un site internet, voici l’adresse

www.lyceehenrimartin.fr…

je comprend pas, ya des news qui aparaisent tout les jours sans que j’en tape une. :heink:

vous pouvez m’aider?
Message edité le 10/08/2007 à 16:47

:ouch: euh tu es en train de nous donner le lien vers la page d’administration de ton site???
Tu as pas peur :etonne:

Manifestement ton site est absolument pas sécurisé et n’importe qui peut aller administrer tes pages et les comptes!

C’est pas un problème de sécurité! Y’a pas de sécurité du tout manifestement :neutre:
Edité le 10/08/2007 à 14:54

je me doute qu’il y a un defaut de securité quelque part mais je trouve pas, mais tout le monde ne peut pas avoir acces à la parti administration, il faut un mot de passe, et un nom d’utilsateur, sauf si un pirate informatique arrive à hacker un compte, ce que je soupçonne, ya pleins de page qui ont etais modifié, et c’est pas possible que ce soit une personne qui posséde un compte qui ai fait ça car elles sont toutes en vacances là.

ben manifestement tout le monde y a accès puisque je me suis pas identifié pour y avoir accès!
Donc n’importe qui qui connait le nom des pages admin de ton site peut passer outre l’identification qu’il y a sur cette page là
/***********/
Et je pense qu’un simple scanner d’url peut permettre de trouver les pages en question

Maintenant je ne suis pas compétent pour te dire ce qu’il faut changer mais à ce stade ton site est au degré 0 de sécurité :confused:
Message edité le 10/08/2007 à 16:48

Dans un premier temps, tu peux essayer de sécuriser l’accès au dossier /admin via un .htaccess (enfin, sous IIS je connais pas l’équivalent).

Ca me rappelle mon premier site PHP, je l’avais mis en ligne alors que je n’avais pas encore de système d’authentification :slight_smile:

Serieusement il est clair que le problème vient de l’absence de sécurisation des pages d’administration (tu as une demande de mot de passe lorsque tu accède au début de ta page d’administration mais il semble qu’il n’y ait aucune vérification lors de l’accès aux autres pages de l’administration : tu pars du principe que les gens passeront forcement par cette page de début, ce qui est faux).
Je suis sûr qu’IIS et ASP te permettent de mettre en place un système d’authentification très simplement.

Edit : Auto-modération car :

(et qu’il avait oublié mon post : je précise qu’il n’y aucun lien quelconque entre ce modo et moi, ça n’est qu’un pur oubli et non de l’impartialité)
Edité le 10/08/2007 à 17:49

je pense que tu n’es pas competent, et tu as bien raison de le souligner, même si il y a une ou deux failles, je te permet pas de juger comme ça le travail de mon ancien collegue, tout comme moi on est webmaster professionnel.

Sans-Nom pourrais tu m’en dire plus? l’accésau .htaccess se fait depuis les ordinateurs du lycée sur le reseau ?

C’est clair qu’à 14 ans, j’aurais adoré défigurer le site de mon bahut !
Mettre des “caca” et “prout” sur la page d’acceuil et écrire en 1337 dans les news, c’est quand même über classe !

Bref, dépêche toi de mettre tout ça hors ligne avant que les gens qui t’ont commandé le site s’en rendent compte ! :paf:
Edité le 10/08/2007 à 16:24

ben dis donc! t’es venu ici pour qu’on te dise que ton site est ultra sécurisé et que c’est la faute à pas de chance si tu t’es fait hacker?
Bon comme je suis pas capable de te donner la solution clé en main je vais te laisser entre professionnels :hello:

Bon, j’y connais strictement rien à IIS, mais visiblement il faut passer par les outils d’admin dans le paneau de config (sur le serveur donc)…
La page officielle pour windows 2000 (tu n’as pas donné de système ni de version d’IIS)… Comme d’hab c’est plus clair en anglais qu’en français…
support.microsoft.com…

Bon courage et fais vite !!! :hello:

Franchement, tu es sérieux ou c’est un gros canular ?
Parce que si c’est un canular, ça nous fait plus rire…
Et si c’est pas un canular, sache que tu es pire qu’incompétent : tu es DANGEREUX. Toi et ton soit disant collègues n’êtes que des charlatans, rien de plus. Je ne te demande pas la permission de juger votre travail lamentable qui est susceptible de causer de graves problèmes de confidentialité.
Mais le PIRE, et c’est bien là le pire, c’est qu’au lieu d’accepter humblement les remarques (surtout que celle de Zarathoustra n’avait RIEN de blessant ou d’offensant), tu te permets d’être hautain et dédaigneux. Car tu as le droit de ne pas savoir, de te tromper, d’avoir tort, d’avoir besoin d’aide… personne n’est parfait ! mais tu n’as aucunement le droit d’adopter ce comportement condescendant et injustifié.
Quand je pense que le site que tu administres est celui (entre autres) d’une prépa… bonjour l’image de marque.
Edité le 10/08/2007 à 16:48

J’en dirais pas plus hein :slight_smile: je connais rien à IIS, et pire je conchie IIS :slight_smile:

(powered by Apache 2++)

++ un avec dunk, je n’ai pas pu poster avant clubic faisait des siennes :wink:

J’ai modéré les différents liens du topic, histoire que tout internet n’aye pas poster la photo de son cul sur ton site :wink:

PS : je suis un amateur, ton interface d’admin n’est même pas de niveau amateur :smiley:

non mais en 2 minutes sans connaitre rien, j’ai trouvé la page d’administration [:yeoh]

en tant que protection pour le moment tu pourrais au moins limiter l’accès au répertoire contenant la partie administration a une plage d’adresses ip (sa ce fait dans le composant mmc IIS).

puis tu peux exiger une authentification liée avec active directory aussi … (sa ce fait dans le composant mmc IIS).

T’en as pour au moins 2 minutes pour bloquer l’accès :confused:

et désolé, le systeme d’authentification est codé avec les pieds. pas de vérification de l’autentification de l’utilisateur sur les pages de contenu. c’est tout sauf un travail professionnel :neutre:

Plus de 5h après qu’on t’ai fourni la solution tu n’as toujours rien fait…
No comment. :paf:

A 20h je pense que le bureau est fermé.