Web | IT-Connect - Partie 15

17/11/2024

Hostinger vous propose un hébergement gratuit

07/10/2013 Florian BURNEL 1 commentaire Web

L’hébergeur Français « Hostinger » propose plusieurs offres d’hébergements pour vos sites web, dont une gratuite. Cela est intéressant pour la mise en place d’un site web de tests en ligne. Je suis tombé sur cette offre par hasard… je me suis dis que c’était bien de vous en faire profiter ! Cette offre est intéressante puisqu’elle vous donne 2 Go d’espace disque, vous permet la création de 2 bases de données MySQL avec le support PHP 5.2, 5.3 et 5.4, tout ça accompagné de PHPMyAdmin pour l’administration des bases de données par interface web. Un accès FTP non sécurisé par SSL est également disponible avec 2 utilisateurs FTP. Pour les comptes mails c’est la même chose, vous avez le droit à 2 adresses de messagerie. Au niveau du serveur qui héberge vos sites web, sa connexion réseau est à 10 Mo/s ce qui est un peu limite mais bon après tout c’est gratuit… Le serveur dispose de 8 Go de RAM

Lire cet article

Actu Cybersécurité

Problème de permissions sur phpBB3

09/09/2013 Florian BURNEL 1 commentaire Sécurité, Vulnérabilité, Web

La célèbre application phpBB3 permettant de mettre en place un forum complet contient une vulnérabilité ! En effet, Andreas Beckmann a découvert que phpBB, tel qu’il est installé au sein de la distribution Debian, définit des permissions incorrectes pour des fichiers en cache, ce qui permettrait à un utilisateur local malveillant de de modifier ces permissions. Il est recommandé de mettre à jour vos paquets phpbb3, voici quelques informations complémentaires : Debian Squeeze : Corrigé dans la version 3.0.7-PL1-4+squeeze1 Debian Wheezy : Corrigé dans la version 3.0.10-4+deb7u1 Debian Sid : Corrigé dans la version 3.0.11-4

Lire cet article

Actu Cybersécurité

Sécurité : Mettez à jour php5

01/09/2013 Florian BURNEL 0 commentaire PHP, Sécurité, Vulnérabilité, Web

Le langage de script web PHP contient une vulnérabilité, cette dernière permet de se faire passer pour un autre utilisateur. En fait, PHP ne traite pas correctement les caractères NUL intégrés au sein de l’extension « SubjectAltName » dans les certificat X.509. Afin de ne plus être vulnérable à ce type d’attaque, mettez à jour votre paquet php5. Debian Squeeze : Problème corrigé dans la version 5.3.3-7+squeeze17. Debian Wheezy : Problème corrigé dans la version 5.4.4-14+deb7u4. Debian Sid : Problème corrigé dans la version 5.5.3+dfsg-1.

Lire cet article

Développement Web

Ouvrir un lien dans une nouvelle fenêtre avec l’attribut target

28/08/2013 Mickael Dorigny 5 commentaires dev, HTML, Javascript, Web

I. Présentation Par défaut, les liens HTML s’ouvrent dans la fenêtre où l’on se situe lorsque l’on clic dessus. Cela peut être gênant car on peut perdre notre page source et voir notre navigation perturbée ou, en tant que web-master, voir nos visiteurs s’enfuir . Pour cela, il existe l’attribut « target » à mettre dans la balise de lien « <a href> ». Il faut néanmoins savoir que Googe juge pertinent l’utilisation de cet attribut uniquement s’il s’agit d’un lien qui faire sortir l’utilisateur du site (qui mène vers un autre site) , nous allons donc voir comment faire et comment effectuer la même chose de façon différente avec du JavaScript. II. Utilisation de l’attribut « target » On suppose que notre lien mène vers la page « index2.html » et que, par défaut, il ressemble à cela : <a href= »index2.html »>Index 2</a> Avec ce code, l’utilisateur ouvrira la page « index2.html » dans la même fenêtre que la page où il se situ, perdant ainsi cette page. Pour que

Lire cet article

Personnaliser la page de démarrage de Firefox

22/08/2013 Mickael Dorigny 2 commentaires Configuration, Firefox, Web

I. Présentation Dans ce tutoriel, nous allons apprendre à changer/personnaliser la page de démarrage de Firefox. La page de démarrage est la page (le site web ouvert) qui va s’affiche au démarrage du navigateur. On peut avoir envie de le changer par exemple en pointant directement sur notre site web favoris ou pour remplacer la page que certains logiciels nous imposent lorsque nous les installons. II. Procédure Pour changer la page de démarrage de Firefox, il faut se rendre dans sa configuration, nous allons donc dans l’onglet « Firefox » généralement en haut à gauche : On va ensuite dans « Options » > « Options » : Un panneau de configuration va alors apparaitre, en restant dans « Général », il faudra saisir le nom du site web que nous voulons voir au démarrage de Firefox dans le champ après avoir sélectionné » Afficher ma page d’accueil » : Il suffit ensuite de cliquer sur « OK » pour valider puis de faire un test en redémarrant Firefox.

Lire cet article

Automatiser l’authentification .htaccess dans l’URL

07/06/2013 Mickael Dorigny 2 commentaires Apache, Authentification, Automatisation, Htaccess, Web

I. Présentation Lors de la mise en place d’une protection d’un dossier ou d’une page web par authentification avec le couple de fichier « .htaccess » et « .htpasswd », l’authentification est à faire dans un pop-up qui apparait lors du retour de la requête. Dans ce tutoriel, nous allons voir comment automatiser cette authentification sans avoir à saisir les identifiants dans cette fenêtre pop-up. Cela peut par exemple être utilisé lors de la mise en place d’un script qui automatise une tâche. II. Procédure Dans un cas normal, nous utiliserons donc une simple requête web comme « http://siteweb.tld/pageprotegee.html » puis nous aurons à saisir nos identifiants. Afin d’automatiser l’authentification, nous allons envoyer directement les identifiants dans la requête comme suivant : http://login:[email protected]/pageprotegee.html Il faut donc spécifier entre « http:// » et le reste de l’URL le couple « login : mot de passe » et marquer le début du reste de l’URL par un « @ ». Une petit astuce au cas où l’identifiant contiendrait un « @ » (une adresse mail par

Lire cet article

Gérer le log level sous Nginx

20/05/2013 Mickael Dorigny 0 commentaire Configuration, Nginx, serveur, Web

I. Présentation Dans ce tutoriel, nous allons apprendre à gérer le log-level du serveur web Nginx. Pour rappel, le log-level est le niveau de verbosité (de « détail ») des logs. Il peut être plus ou moins précis selon nos besoins. Un log-level en mode « debug » sera très détaillé et permettra d’avoir un maximum d’informations techniques sur les échanges Nginx. Voici le détail des logs qu’il est généralement possible d’avoir sous un système : 0 Emergency 1 Alert 2 Critical 3 Error 4 Warning 5 Notice 6 Informational 7 Debug Il faut savoir que chaque niveau comprend les niveaux d’en dessous. Ainsi si nous configurons notre Nginx en mode « debug », nous aurons les logs info, warn, crit, etc … II. Changer le log level des erreurs Nginx Dans la configuration Nginx, il est possible de changer le logs level très facilement. On doit pour cela aller dans le fichier de configuration d’Nginx qui est par défaut dans « /etc/nginx/nginx.conf ». Il faudra ensuite trouver

Lire cet article

Sécuriser les authentifications Htaccess avec l’option Digest

21/04/2013 Mickael Dorigny 5 commentaires Apache, Authentification, Htaccess, Sécurité, Web

I. Présentation Le fichier .htaccess est un moyen rapide et efficace pour restreindre et protéger l’accès à un dossier ou à des fichiers web sur un serveur. La plupart des tutoriels nous disent souvent d’utiliser l’option simple « AuthType Basic » pour la méthode d’authentification. Cependant, cette option fait passer les mots de passe quasiment en clair sur le réseau remettant ainsi sérieusement en cause leur crédibilité en terme de sécurité. Dans ce tutoriel, nous allons voir une démonstration du passage du mot de passe lors d’une authentification .htaccess utilisant un type d’authentification « Basic » puis nous verrons comment mieux sécuriser le passage de l’authentification sur le réseau par un .htaccess. II. Démonstration Nous partons ici du fait qu’un fichier « .htaccess » utilisant l' »AuthType Basic » est déjà en place. Pour ceux pour qui ce ne serait pas encore le cas, je vous oriente vers ce tutoriel sur la mise en place d’une protection simple avec « .htaccess ». Nous allons donc avoir un serveur web (dans

Lire cet article

Protéger l’accès à certains fichiers spécifiques avec .htaccess

14/04/2013 Mickael Dorigny 0 commentaire Apache, Authentification, Htaccess, Sécurité, Web

I. Présentation Les fichiers « .htaccess » sont souvent utilisés dans Apache afin de protéger l’accès à un répertoire spécifique où les fichiers sont positionnés. Il est important de savoir également que l’on peut, avec un fichier « .htaccess », protéger un fichier ou un type de fichier et pas d’autres alors qu’ils sont dans le même répertoire. C’est ce que nous allons voir dans ce tutoriel. II. Préparation de l’environnement Nous allons supposer qu’Apache2 est déjà installé et opérationnel sur notre serveur et qu’il est joignable sur le port 80. Pour le test, nous allons supposer que la page « index.html » doit être joignable sans restriction mais pas la page « index2.html » que nous créons maintenant : cp /var/www/index.html /var/www/index2.html chown www-data /var/www -Rf Nous faisons un premier test d’accès aux deux pages. Elles sont normalement toutes deux accessibles sans restrictions (sinon vérifiez votre configuration Apache2). III. Construction du fichier .htaccess Nous allons maintenant créer le fichier « .htaccess » dans le répertoire « /var/www » afin de restreindre

Lire cet article

Supervisez votre site web avec Crawltrack

28/03/2013 Mickael Dorigny 0 commentaire Configuration, Linux, Monitoring, Supervision, Web

I. Qu’est ce que crawltrack ? Crawltrack est un service fonctionnant sous Linux qui permet de superviser votre site web. Il génère à la visite de votre page web des informations sur les visiteurs, le nombre de visiteurs durant une période , le nombre de hits (pages visitées ..). Il renseigne sur la façon dont les utilisateurs on joints votre site, par moteur de recherche ( google, yahoo), par entrée directe ou par lien sur un autre site. Crawltrack permet aussi de montrer les erreurs qui se sont produites sur vos pages/ sites et les téléchargements qui ont été effectués. Le second rôle de crawltrack est la sécurité de votre site web, il met à disposition des tests et des analyses rapportant les tentatives d’attaques sur vos sites. II. Pré-requis Un serveur apache pour accéder à l’interface web de crawltrack et à vos sites : apt-get install apache2 Un service php pour permettre aux scripts php de crawltrack de travailler

Lire cet article

Changer l’emplacement des sites par défaut d’apache

26/03/2013 Mickael Dorigny 3 commentaires Apache, Configuration, Web

I. Présentation Le répertoire où Apache 2 va par défaut chercher les sites et les pages web est le répertoire « /var/www ». Dans ce tutoriel, nous allons apprendre à changer ce paramètre en changeant la répertoire par défaut d’Apache 2. II. Création du répertoire d’accueil Nous allons par exemple ici vouloir qu’Apache 2 aille chercher les pages et sites web par défaut dans « /home/webuser/sites ». Il faut donc s’assurer que le répertoire d’accueil existe et le créer si ce n’est pas le cas : mkdir /home/webuser/sites On donne ensuite tous les droits à l’utilisateur « www-data » qui exécute Apache 2 : chown www-data /home/webuser/sites -Rf Note : le « -R » permet d’effectuer l’affectation des droits de manières récursive (en comprenant les sous-dossiers et leurs fichiers) III. Configuration du répertoire par défaut Nous nous rendons pour cela dans le dossier de configuration d’Apache 2 qui est « /etc/apache2 » cd /etc/apache2 Nous avons par défaut un site actif dans Apache 2 que nous pouvons identifier en faisant

Lire cet article

Apache Tomcat

Authentification type .htaccess sous Tomcat

14/03/2013 Mickael Dorigny 0 commentaire Configuration, Sécurité, serveur, Tomcat, Web

I. Présentation Dans ce tutoriel, nous allons mettre en place une authentification de type .htaccess (typique d’Apache2) sous le serveur web Tomcat7. Il est important de savoir qu’en réalité, Tomcat7 ne gère pas les fichiers .htaccess. Seul le principe de demande de l’authentification est à retenir de ce qu’on appel par abus de langage « une authentification .htaccess ». Nous allons donc ici vouloir qu’une barrière d’authentification soit présente à partir d’une certain e arborescence du site et que cette barrière soit levée seulement aux utilisateurs qui s’authentifient correctement sur le serveur. II. Mise en place de l’environnement de test Nous allons ici mettre en place un serveur Tomcat 7 avec un site fictif sur lequel nous allons tester notre authentification. Pour tout le tutoriel, nous présumons l’utilisation d’un Tomcat7 aux configurations basiques et stocké dans « /var/lib/tomcat7 ». Note : Si votre Tomcat7 et le site nécessitant l’authentification sont déjà en place, passez directement à la partie « II. Mise en place de la

Lire cet article

Vérifier la configuration d’Apache2 avant de redémarrer

12/03/2013 Mickael Dorigny 0 commentaire Apache, Configuration, Web

I. Présentation Lors d’une modification de la configuration d’Apache, nous sommes bien souvent obligé de redémarrer le service « apache2 » présent sur notre serveur. Le problème est que si la configuration n’est pas correcte, le service peut refuser de redémarrer. Si c’est sur un serveur en production, les sites hébergés seront indisponibles le temps de la réparation du problème. II. Procédure Dans ce cas précis, il est serait plus judicieux de savoir vérifier si la configuration d’Apache2 est correcte avant de procéder à un redémarrage. Il existe pour cela une commande fournis avec les paquets « apache2 » qui se nomme « apachectl ». Cette commande, dans notre cas, peut prendre l’option « configtest » qui va procéder à une vérification de la syntaxe des fichiers de configuration : Si il y a un élément dans les fichiers de configuration qu’Apache2 ne comprends pas, il vous l’indiquera à la suite de la commande et cela vous permettra de le corriger sans avoir une indisponibilité du service et

Lire cet article

Htaccess – Utiliser des index alternatifs

03/03/2013 Florian BURNEL 0 commentaire Apache, Configuration, Index, Web

I. Présentation La configuration standard d’un serveur web implique que la page web se nomme « index.html », « index.htm » ou « index.php ». Toutefois, en paramétrant le fichier « .htaccess » situé à la racine de votre site il est possible d’indiquer un autre nom de fichier pour la page Index. Voir même d’indiquer plusieurs fichiers Index et dans le cas où Apache ne trouve pas le premier, il vérifiera l’existence du second, etc. Ainsi, vous vous assurez d’avoir toujours une page Index accessible dans le cas où la page principale ne l’est plus. II. Définir un ou plusieurs index Pour définir un nom de page personnalisé pour l’Index ou en indiquer plusieurs pour avoir de la redondance sur la page Index, on utilise la directive « DirectoryIndex ». – Un index nommé « accueil.html » : DirectoryIndex accueil.html – Deux index, dont le principal est « accueil.html » et l’alternatif est « index.html » : DirectoryIndex accueil.html

Lire cet article

Htaccess – Restriction des adresses IP

01/03/2013 Florian BURNEL 8 commentaires Apache, Authentification, Configuration, Htaccess, Sécurité, Web

I. Présentation Les fichiers .htaccess sont omniprésents sur les sites web pour mettre en place de la réécriture d’URL, définir des pages d’erreurs personnalisées, demander une authentification pour accéder aux ressources, mais aussi pour effectuer une restriction sur une ou plusieurs adresse(s) IP. C’est ce que nous allons voir dans ce tutoriel. Il y a deux méthodes pour procéder à une restriction : Refuser l’accès à certaines adresses IP Autoriser uniquement l’accès à certaines adresses IP Pourquoi le bannissement ? Si quelqu’un de malintentionné publie des commentaires en grand nombre sur votre site, pollue votre forum, tente d’accéder à votre interface d’administration, etc. II. Restreindre une ou plusieurs adresse(s) IP Commençons par restreindre l’accès à une ou plusieurs adresse(s) IP en modifiant le fichier « .htaccess » situé à la racine de votre site. Indiquez-ceci dans votre fichier : # Restriction des adresses IP # Ordre de priorité des instructions : autoriser puis refuser Order Allow,Deny # On

Lire cet article