zantar Posté 30 Mars 2008 Posté 30 Mars 2008 Bonjour, je teste spip dans sa dernière mouture la 1.9.3.d, et je suis extrêmement surpris, contrairement aux autres CMS , de ne trouver aucun tutoriel, aucune piste afin de sécuriser l'installation. j'ai parcouru leur forum et recherché sur le net, rien, que des généralités. je cherche un tuto, ou des conseils, qui fixe par exemple le bon chmod pour chaque fichier et repertoire sensible. ya t'il moyen de renommer le repertoire "ecrire", afin qu'il ne soit plus visible par tout le monde, ya til moyen de renommer et déplacer des fichiers sensibles ? enfin ces choses la avez vous une piste sérieuse ? je suis vraiment surpris de ne rien trouver, tout se passe comme si la sécurité était native dans spip et allait de soi ... merci d'avance.
Sanguo Posté 30 Mars 2008 Posté 30 Mars 2008 (modifié) SPIP 1.9.3 est encore en développement Sinon SPIP ne tombe pas comme ça du ciel. Les problèmes de sécurité ont toujours été un problème inhérent à son développement. Ce qu'il faut savoir c'est que SPIP, bien qu'il soit devenu une usine à gaz, a toujours privilégié la simplicité d'installation et d'utilisation pour des néophytes. Donc ce n'est pas dans l'esprit de rendre son utilisation plus ardue en demandant d'interférer sur des droits en écriture. Rien qu'une connexion à MySQL est déjà une angoisse existentielle pour la moitié des utilisateurs, donc il faut pas s'attendre à beaucoup de doc. Le code est documenté et il suffit souvent de fouiller un peu pour trouver son bonheur. Il n'y a jamais eu de faille majeure, des alertes de sécu bien sur dont la dernière en date 1.9.2c -> 1.9.2d mais jamais de chose réellement sérieuse. Si tu souhaites faire des modifs, tâte déjà le terrain ici : http://blog.gmane.org/gmane.comp.web.spip.user Si personne ne peut te répondre, ensuite il y a la liste de développement : http://archives.rezo.net/spip-dev.mbox/ Modifié 30 Mars 2008 par Sanguo
NiCoS Posté 31 Mars 2008 Posté 31 Mars 2008 Il y a eu des travaux dans la version de 1.9.2 et de dev sur une meilleure gestion des droits et la restructuration des répertoires va dans ce sens (SPIP 1.8 vs 1.9). Pour écrire, de mémoire tu ne peux pas le renommer et toujours de mémoire certaines pages publiques demande un accès à des fichiers présent dans /ecrire/ donc tu ne peux pas supprimer ce répertoire non plus. Sans dire que ce soit un modèle en matière de sécurité, je dirais plutot que la sécurité a été prise en compte en amont dans la mesure du possible pour éviter d'embêter les utilisateurs finaux avec ce genre de problématiques.
zantar Posté 31 Mars 2008 Auteur Posté 31 Mars 2008 Merci pour ces infos, dès que j'ai un moment je vous ferai un petit compte rendu des mesures glanées à droite et à gauche, et les tests que j'ai pu faire sur les droits en chmod.
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant