Reprise du message précédent :

Haaaa le foot ... Domage que ca soit dangeureux pour le cerveaux des informaticiens.

 
ha merde, me suis trompé de topic  

Ruby/Rails ou Python/Django  
 
En plus avec Python/Django t'as l'interface d'admin toute faite

Salut tout le monde, vu ce qu'on peut lire un peu partout sur phpBB j'ai entrepris de sécuriser un peu mon forum aujourd'hui
 
Voilà ce que j'ai fait :
 
- Supprimer tout les repertoires/fichiers ce qui ne servent à rien ou qui ne servent plus
- Rajouter une authentification HTaccess au repertoire admin avec un couple login/password crypté différent de ceux de mon compte admin sur le forum
- Dans tous les repertoires ou rien ni personne n'est censé aller (includes, db, language...) j'ai rajouté un fichier .htaccess avec "deny from all" dedans
- Cacher le fichier config.php, dans un autre répertoire et sous un autre nom et bloquer son accès (.htacces => deny from all) et faire un chmod 600 dessus
- mettre à la place de l'ancien un faux fichier config.php qui contient un des faux login/password pour le compte admin et la bdd et faire un chmod 600 pour faire croire que je me suis amusé a le protéger et que c'est le vrai fichier
- rajouter un fichier index.html vide dans chaque repertoire pour que l'on ne puisse pas voir leur contenu
- et bien sur phpBB est à jour et je fais des backup quotidiens
 
 
Comme je débute et que vous êtes tous des pros des forum est ce que je peut avoir votre avis sur tout ça ? Est ce que c'est suffisant pour être protégé ?
 
Merci d'avance  

C'est pas un tomic sur l'administration de phpBB

Ce que t'as fait est déjà mieux que rien, mais rien à par une correction du code php n'empéchera les attaques par les différentes failles encore en place (y compris celles pas encore conus des développeurs de phpbb) telles que des failles XSS et injections SQL.
 
Par contre, une chôse auquel tu n'as peut être pas réfléchis : quand des mises à jours auront lieux sur des fichiers que t'as modifié, comment vas tu t'organiser pour les intégrer sans perdre tes propres modifications?
 
Juste pour info : il y a quelques temps, j'ai participé à un projet où il y a eu des problémes de synchronisations pendant quelques semaines et je peux t'affirmer que c'est super chiant de devoir refaire plusieurs fois exactement la même modif.
 

perso j'ai mis un MD sur mon site, bah je me suis pas embeté à mettre des .htaccess et tout et tout nulle part, et j'me suis même pas fait hacké

En fait avec leur script de mises à jour et autres trucs il m'arrive des cou***** même avec un phpbb pas bricolé
 
donc maintenant ce que je fais c'est que en cas de mise a jour je j'efface tout, je réinstalle la nouvelle version, je refais toutes mes modifs (sécurité, optimisations, thèmes, etc...) et je remet l'ancienne bdd
 
ça ne prends pas plus d'1/4 d'heure comme ça

 
  Pwn3d by j0ce, HaHaAH !  

Même pas, c'est dire si c'est sécure !

C# bondieu, avec ASP .NET

ASP .net beurk

Il est pas en PHP le forum MD ?

ben si

pourquoi donc ?

Si ça se trouve, c'est un coup vicieux de securantisme obscur par osbcurité sécurisée (genre ) et le fichier de la page s'appelle forum2.php pour faire croire que c'est du php mais en fait c'est de l'asp voire du perl.  

tout ca pour ca ?
et les gens qui viennent apprendre des trucs ici alors

 
Parce que c'est crade et lent pour faire un site basique (enfin même un site pas basique)...

je vois pas en quoi un site fait en C# est plus crade qu'un site fait en PHP

je te parle d'ASP.net

ya des rumeurs comme quoi il est fait en javascript  

et derrière ASP.net y'a quoi d'après toi ? (en code behind)

c'est pour ça qu'il tourne sur de petits serveurs il utilise la puissance réparties de nos machines via JavaScript, c'est un forum Peer to Peer en fait

nan mais t'es en train de nous demander pourquoi un site fait avec de la boue serait plus crade qu'un site fait avec de la bouse
 
Bien sûr qu'il ne l'est pas, mais c'est pas pour ça qu'il est beaucoup plus propre

Dédé le camionneur avec son beau marcel et sa grosse bite, et il va te recoder le behind

Donc on n'a une preuve concrète qu'il est très bien pour faire de dont à quoi il était destiné.    
 
Après, y'aura toujours mieux, je ne sais plus qui parlait de faire un forum en assembleur, cela dit, ça peut être intéressant, mais comme j'aime à le répéter "Ce n'est pas parce qu'une bombe nucléaire tue les moustiques qu'on doit s'équiper en uranium quand l'été approche".
 
Le fait est que si certains voient le PHP comme un mauvais langage, c'est peut-être tout simplement parce qu'il cherche à lui faire faire plus que ce dont à quoi il est destiné. Quand j'en vois certains dire que c'est un langage de merde parce qu'il fait de l'autodéclaration et qu'il permet de mélanger int et string alors que justement, c'est une de ses grandes forces dans le développement web, ça me fait sourire. Ces même personnes seraient-elles pour qu'en XHTML on soit obliger de déclarer le type de variable que doit contenir un Input ?

ASP n'est pas un langage, mais plutot une sorte de conteneur qui permet d'utiliser divers langages, dont VB et C#

Ouai je fais ça pour mes nouveaux sites désormais, je fais de l'URL Rewriting histoire que tout le monde voit du HTML quelquesoit ce qu'il y a derrière.

me parle pas d'asp.net avec IIS. C'est le seul langage internet que je n'ai jamais réussit à faire marcher convenablement sur mes ordi. C'est bien simple, en passant par IIS, il ne tenait pas compte du global.asax et du coup, aucune intéraction avec les bases de données ne marchait chez moi et en fait tout qui dépendaient d'éléments contenu dans ce fichier là déconaient à fond les manettes. Les seuls essaies que j'avais réussis, c'était ceux exécuté dans l'éditeur de microsoft, mais ca m'a bien refroidit de voir que je serais obliger de payer un éditeur proprio rien que pour pouvoir m'essayer à un langage pendant plus de quelques semaines.

oui ben on l'attend encore celui là ...  

Les deux n'ont strictement aucun lien: suffit de regarder Python ou Ruby, les déclarations sont implicites et pourtant le typage reste fort (on ne peut pas faire de mélanges démoniaques à la PHP)

Là encore strawman, là encore regarde Python ou Ruby ou Lisp (ou bien Haskell, SML, OCaml), on ne déclare pas explicitement ses types (enfin dans les 3 derniers il y a des type hints)

l'XHTML n'est pas un langage de programmation

Non mais il est interfacé avec des langages de programmation et même si il n'est pas un langage de programmation, il sert pourtant de déclaration de variable à ses langages (je ne suis pas sûr d'utiliser les bons termes, je ne fais pas parti de l'élite des programmeurs), d'où la théorie sur l'Input.

bha faut admetre qu'une validation clientside des input à coup de regexp ca pourrait être sympa
<input match="\d{10}" type="text" name="telephone">

 
ça n'empêche que c'est crade, tu pourras me dire ce que tu veux ça n'y changera rien au fait  

Je crois que tu confonds "description de l'affichage et de la structure de la page" et "dialogue navigateur=>serveur".
L'xhtml tout comme l'html ne crait aucune variable dans les langages côté serveurs. Le serveur par contre va fournir plusieurs liste de valeurs au langage susnomé. Ces listes sont d'ailleur créé à partir des valeurs déjà conus du serveur, du texte et des header renvoyé par un navigateur.
En fait, un langage serveur ne fait que récupérer des listes de chaines de caractéres vu que tout transite sous cette forme là. Au mieux, l'xhtml indiquerait que dans telle zone on accepte que des chiffres ou une saisie de date, mais pour le serveur, tout ça ne serait de toute maniére que du texte.

Euuhh pour dire ça, faut vraiment être ignorant du Framework .NET
 
franchement regarde un peu ce que c'est avant de le critiquer !
 
attention ASP.NET n'est pas du tout structuré de la même façon que l'ASP 1er du nom

lol, je te dis pas la taille de la page si t'as ne seraisse que 5 zones de saisies avec la regexp correspondant à la RFC compléte des adresses mail.

 
Ce serait cool d'argumenter aussi
 
( je demande sérieusement, je connais pas du tout... (bon c'est pas une envie folle qui me transporte non plus hein))

Si, le XHTML créé des variables. Il n'y a pas que les langages serveurs, il y a aussi le Javascript (mais là encore on va me dire que ce n'est pas un langage de programmation  )
Après, c'est la méthode de transmission et justement, le fait que l'on ne puisse rien déclarer en HTML qui fait que tout transite par des strings, d'où cette souplesse de PHP qui fait que certains le critique alors qu'il est en fait parfaitement adapté à son utilisation.