Bonjour,
je teste spip dans sa dernière mouture la 1.9.3.d, et je suis extrêmement surpris, contrairement aux autres CMS , de ne trouver aucun tutoriel, aucune piste afin de sécuriser l'installation. j'ai parcouru leur forum et recherché sur le net, rien, que des généralités.
je cherche un tuto, ou des conseils, qui fixe par exemple le bon chmod pour chaque fichier et repertoire sensible.
ya t'il moyen de renommer le repertoire "ecrire", afin qu'il ne soit plus visible par tout le monde, ya til moyen de renommer et déplacer des fichiers sensibles ? enfin ces choses la
avez vous une piste sérieuse ? je suis vraiment surpris de ne rien trouver, tout se passe comme si la sécurité était native dans spip et allait de soi ...
merci d'avance.
Version complète: sur le forum Webmaster Hub : Sécuriser spip 1.9.3 d
SPIP 1.9.3 est encore en développement 
Sinon SPIP ne tombe pas comme ça du ciel. Les problèmes de sécurité ont toujours été un problème inhérent à son développement.
Ce qu'il faut savoir c'est que SPIP, bien qu'il soit devenu une usine à gaz, a toujours privilégié la simplicité d'installation et d'utilisation pour des néophytes. Donc ce n'est pas dans l'esprit de rendre son utilisation plus ardue en demandant d'interférer sur des droits en écriture. Rien qu'une connexion à MySQL est déjà une angoisse existentielle pour la moitié des utilisateurs, donc il faut pas s'attendre à beaucoup de doc. Le code est documenté et il suffit souvent de fouiller un peu pour trouver son bonheur.
Il n'y a jamais eu de faille majeure, des alertes de sécu bien sur dont la dernière en date 1.9.2c -> 1.9.2d mais jamais de chose réellement sérieuse.
Si tu souhaites faire des modifs, tâte déjà le terrain ici : http://blog.gmane.org/gmane.comp.web.spip.user
Si personne ne peut te répondre, ensuite il y a la liste de développement : http://archives.rezo.net/spip-dev.mbox/
Sinon SPIP ne tombe pas comme ça du ciel. Les problèmes de sécurité ont toujours été un problème inhérent à son développement.
Ce qu'il faut savoir c'est que SPIP, bien qu'il soit devenu une usine à gaz, a toujours privilégié la simplicité d'installation et d'utilisation pour des néophytes. Donc ce n'est pas dans l'esprit de rendre son utilisation plus ardue en demandant d'interférer sur des droits en écriture. Rien qu'une connexion à MySQL est déjà une angoisse existentielle pour la moitié des utilisateurs, donc il faut pas s'attendre à beaucoup de doc. Le code est documenté et il suffit souvent de fouiller un peu pour trouver son bonheur.
Il n'y a jamais eu de faille majeure, des alertes de sécu bien sur dont la dernière en date 1.9.2c -> 1.9.2d mais jamais de chose réellement sérieuse.
Si tu souhaites faire des modifs, tâte déjà le terrain ici : http://blog.gmane.org/gmane.comp.web.spip.user
Si personne ne peut te répondre, ensuite il y a la liste de développement : http://archives.rezo.net/spip-dev.mbox/
Il y a eu des travaux dans la version de 1.9.2 et de dev sur une meilleure gestion des droits et la restructuration des répertoires va dans ce sens (SPIP 1.8 vs 1.9).
Pour écrire, de mémoire tu ne peux pas le renommer et toujours de mémoire certaines pages publiques demande un accès à des fichiers présent dans /ecrire/ donc tu ne peux pas supprimer ce répertoire non plus.
Sans dire que ce soit un modèle en matière de sécurité, je dirais plutot que la sécurité a été prise en compte en amont dans la mesure du possible pour éviter d'embêter les utilisateurs finaux avec ce genre de problématiques.
Pour écrire, de mémoire tu ne peux pas le renommer et toujours de mémoire certaines pages publiques demande un accès à des fichiers présent dans /ecrire/ donc tu ne peux pas supprimer ce répertoire non plus.
Sans dire que ce soit un modèle en matière de sécurité, je dirais plutot que la sécurité a été prise en compte en amont dans la mesure du possible pour éviter d'embêter les utilisateurs finaux avec ce genre de problématiques.
Merci pour ces infos,
dès que j'ai un moment je vous ferai un petit compte rendu des mesures glanées à droite et à gauche, et les tests que j'ai pu faire sur les droits en chmod.
dès que j'ai un moment je vous ferai un petit compte rendu des mesures glanées à droite et à gauche, et les tests que j'ai pu faire sur les droits en chmod.
Ceci est une version "bas débit" de notre forum. Pour voir la version complète avec plus d'information, la mise en page et les images, veuillez cliquer ici.