changer l'extension avec htaccess

[recherche_webmaster]

Bonjour,

J'ai lu sur un site traitant de la sécurité des sites web qu'il pouvait être utile de masquer l'extension d'une page et donc de cacher le language dans lequel celle-ci est écrite.

Donc avec htaccess j'ai rewrité les urls et j'ai des mapage.asp au lieu des mapage.php (puisque les pages sont écrites en php).

je ne connais pas asp.

La feinte est-elle vraiment utile, ou au contraire peut-elle porter préjudice?

A priori le hacker va bidouiller les formulaires avec du codes asp, que va-t-il sepasser ? (j'ai filtré les formulaires pour enlever les balises scripts etc...)

Modifié 18 Août 2005 par recherche_webmaster

[Anonymus]

C'est une technique qui permet de se prémunir d'un certain nombre de risques, ou disons plutot d'un certain degré de 'hacker', mais il suffit de pas grand chose pour connaitre le langage.

Par exemple :

Jettes un oeil aux outils du Hub, et tu verras un 'analyseur d'entètes'. Celui ci permet de savoir sous quelle plateforme tourne ton site.

Si ton site tourne sous 'unix' (linux), inutile de faire croire qu'il tourne en ASP (alors que l'inverse pourrait être vrai).

Anonymus.

[recherche_webmaster]

ok, donc bien sur pour les pros ça ne sert à rien, mais je me méfie plutot du hacker de passage, je ne vois pas pourquoi les pros viendrait perdre du temps sur mon site.

Ce que je craignais en fait, n'étant pas moi même un pro, c'est cela :

Le hacker voit une page en .asp, il entre en code asp et hop ça me déclenche une erreur php qui lui indique quoi faire, comme n'importe quel message d' erreur php.

c'est idiot? ça ne se passe pas comme ça?

Modifié 18 Août 2005 par recherche_webmaster

[Anonymus]

Le second problème est bien celui ci.

Tu modifies les extensions, mais des erreurs s'affichent. Ces erreurs seront forcément typiques 'php', et identifieront ton site comme un site tournant sous php.

Il y a un certain nombre d'erreurs de base à ne pas faire, qui évitent dans un premier temps, le passage des hackers.

- Ne pas se servir de programmes tous faits (ou alors des programmes durement éprouvés).

- Repérer les failles courantes, que l'on fait en php, et les corriger. Parmi celles ci, citons :

- les include,

- les formulaires (et tout passage de paramètres),

- les mails (et tout système d'envoi de masse),

- etc..

- Puis se mettre dans la peau du hacker, en se disant qu'on va essayer de faire 'sauter son site'.

2 Conseils :

- Ne pas sous estimer les hackers,

- Se dire en permanence : " Si, l'utilisateur le fera !!"

(Pour le second conseil, ca tient surtout de la réflexion : " Il ne fera pas ca, tout de meme !? Ben si, il le fera )

Enfin, prendre en considération que :

Ce n'est pas parce qu'un hacker n'a aucun intéret à 'le faire', qu'il ne le fera pas. Autrement dit, t'as des cons partout. Sur internet, ils sont organisés.

Anonymus.

[recherche_webmaster]

ok

Je voudrais être plus précis sur ce point :

Le second problème est bien celui ci.
Tu modifies les extensions, mais des erreurs s'affichent. Ces erreurs seront forcément typiques 'php', et identifieront ton site comme un site tournant sous php.

Admettons qu'il n'y ait à l'origine aucune erreur php dans mes scripts susceptibles de dévoiler le language utilisé.

La question est bien : Est ce que le fait d'entrer du code asp va pour le coup me déclencher une erreur, qui en plus de dévoiler qu'il s'agit d'une page php donnera toutes les informations inhérentes à une erreur php?

Auquel cas le remède est pire que le mal.

[Dan]

Je pense que plutôt que de changer les extensions, il vaut mieux consacrer son temps à "bétonner" le site.

Il est clair qu'un forum phpBB non mis à jour ou qu'un annuaire comme on en trouve des centaines en téléchargement pourront causer des problèmes. Et le fait de changer les extensions n'arrivera même pas à faire hausser un sourcil à un cracker.

(il ne faut pas confondre hacker et cracker )

Le mieux est d'analyser tous les endroits où l'utilisateur pourra interagir avec le site, et prévoire toutes les failles possibles.

On rencontre dans les logs des URLs vraiment alambiquées, qui démontrent l'ingéniosité de ceux qui ont décidé de cracker un serveur.

La prudence est la mère de la porcelaine, non ?

[recherche_webmaster]

Je suis complètement d'accord avec toi Dan, et le changement d'extension n'est qu'un petit plus.

Mais par contre personne n'a répondu à ma question : entrer du code asp dans le formulaire d'une page php génère t-il à coup sûr une erreur, ou bien ça ne fera tout simplement rien ?

[Dan]

Cela n'a pas de réponse type, et dépend de la manière dont tu bétonnes le code et traites les données.

Tu peux mettre de l'ASP dans les pages du Hub, tu ne risques absolument pas de le faire écrouler (ni avec du php d'ailleurs)

Donc si le programme qui reçoit les données est bien écrit, aucun risque par injection de code asp vu que RIEN de devrait être exécuté/interprété dans ce que transmet un utilisateur. Que ce soit du php, de l'asp ou du serbo-croate amélioré ne change rien

[Dudu]

My two cents:

Plutôt que de changer les extensions de fichiers par d'autres extensions, je pense qu'il est préférable de les masquer.

Par exemple, avec l'option MultiViews d'Apache

[recherche_webmaster]

ça c'est futé, mais là je n'ai pas de serveur dédié je suis chez ovh, et je n'ai pas encore appris à administrer un serveur.

C'est noté pour plus tard.