-
[Alerte de securite maximale r10] vol de session ET cookies
Une nouvelle alerte très importante est lancée ! Alerte de la plus grande importance vu les possibilités offertes ! Un patch vous est livré sur les forums, très simple d'installation. Renseignements et correctif sur ce forum. Bonne mise à jour.
-
Dossier sauvegarde, les grands acteurs PHP: BigDump et MysqlDumper
On en parle peu, et pourtant le coeur de nos sites internet c'est bien la base de données. Base qui se doit de demander toute notre attention, comme par exemple réaliser une optimisation régulièrement ( même si maximus est doté d'un système de crons qui s'en chargent plusieurs fois par jour à différents niveau: cf wiki ). Alors parlons bien, parlon peu ! Deux superbes utilitaires gratuit Et open source existent sur la toile, à savoir: - BigDump - MysqlDumper Ces deux projets ont des objectifs similaires, nous allons tacher d'en détailler les possibilités et surtout lequel utiliser et quand ! BigDump 0.29 en détail Ce simple script composé d'un seul fichier .php va être l'arme fatale pour sauvegarder votre base de données de gros volume. Il suffira d'uploader sur votre FTP le fichier bigdump.php après l'avoir configuré à la mano sur votre ordinateur pour se connecter à votre base de données, puis de le lancer via votre butineur préféré comme ceci: www.mondomaine.com/bigdump.php Vous pourrez ici ou sauvegarder une base de données de gros volume, ou restaurer une base de gros volume de manière extrêmement rapide et le tout avec un joli rendu en Ajax ( faut que ça récure :) ) Bigdump est donc l'outil idéal pour restaurer une base, pour changer d'hébergeur, ou que sais je de ce type d'opérations. BigDump se veut simple, très simple même, mais ce qu'il fait il le fait bien. Ici pas de fioritures ou de belles images, le script est plutôt brut mais croyez moi il mérite d'être connu. MysqlDumper 1.22 Alors là c'est l'artillerie lourde, l'utilitaire à tout faire :) Avec MysqlDumper attendez au meilleur, même si celà à un prix car il vous faudra le placer dans un dossier spécifique, le protéger par un couple de fichiers type .htaccess / .htpsswrd, mais une fois ceci réalisé autant dire que vous ne serez pas déçu. En effet, MysqlDumper sait tout faire ( ou presque ), c'est l'arme idéal pour maintenir plusieurs bases sql en même temps, il sera même possible de programmer des crons de sauvegarde, enfin vous ne serez pas déçu croyez moi. Entre les deux mon coeur balance ! Non, franco de port, je le redis: non ! Le premier BigDump est une merveille de rapidité et surtout idéalement adapté quand on est pressé ( qui ne l'est pas ), et que l'on ne veut qu'une chose : avoir son dump sql dans les meilleurs délais et là on est servit car l'installation du script est bien plus rapide que mysqldumper, mais attention bigdump ne fera que ça. mysqldumper est une arme redoutable qu'il est bon de placer sur son FTP ( avec une protection adéquate ), pour maintenir son site par exemple. Ces deux utilitaires, même s'ils ont des objectifs similaires sont en fait bien différents et sont adaptés à des situations spécifiques, dans tous les cas, les deux sont non seulement à connaitre mais à conserver dans une petit coin de sa machine. Attention à la sécurité ! Oui, le problème majeur d'un projet web, c'est justement ce point précis ! BigDump ne peut pas être laissé sur votre FTP sans quoi, n'importe qui pourrait l'utiliser aussi ( pas drole ça :( ) MysqlDumper lui peut rester sur votre FTP mais et uniquement avec une protection complémentaire de type htaccess ( on aurait préféré une identification directement dans le script , mais bon ) Liens annexes: Télécharger BigDump 0.29 Télécharger MysqlDumper 1.22 Projets qui s'en rapprochent ( même s'ils ne servent pas aux mêmes type d'opérations ) Télécharger PhpMyadmin Télécharger Eskuel Il est intéressant aussi de consulter des sites du type: phpscripts-fr.net 
-
La securite de sites internet: une specialisation qui se fait rare :(
Il était une fois la sécurité de mon site :) Là, j'ai tout dit et j'ai rien dit :( Les temps changent, les compétences aussi et j'avoue moi même mettre fait clouer au pilori hier lors d'une réunion sécurité linux ! Cette réunion, aura eu un impact ( pour moi ) majeur dans ma vision de la sécurité des sites internet dans leur globalité et tout ça pour avoir approfondi la gestion des droits des fichiers vu par Linux ! Je pensais savoir des choses sur la sécurité, ben ... j'ose avouer que j'étais très loin de deviner ce que l'on pouvait faire avec juste un chmod 777 sur un fichier ou un dossier. J'avais réussi après de très gros chantiers à comprendre comment écrire dans un dossier ou fichier distant en chmod 777, c'était dur, ça ne marchait pas tout le temps et le script pour parfaire était très lourd ... C'était sans compter ce que j'ai pu apprendre hier :( D'ailleurs ma vue va en être bouleversée pour l'avenir, et ma façon de développer aussi ! Maximus devra donc évoluer dans cette nouvelle direction, ou la sécurité n'a pas d'autre prix que de se l'imposer tel un fardeau . Alors on peut avoir plusieurs visions: - se dire qu'on sait tout - se dire que tout va bien - se dire qu'il ne m'est jamais rien arrivé - se dire que ça n'arrive qu'aux autres - ou encore ne rien comprendre et se référer à n'importe quoi ou qui Enfin, en ce qui me concerne, ma vie et ma vue du développement PHP va changer de direction et de manière ferme et définitive. J'ai ouvert un fil de dicussion vous relatant au mieux ce que j'ai pu apprendre et mettre en oeuvre, et ce qu'il va être recommandé dorénavant pour utiliser à tête reposée ( jusqu'à quand , dieu seul le sait ) ses sites internet. Ne vous ruez pas dans la psychose même si ce type de post se veut alarmant, j'ose avouer que certainement très très peu de gens arriveront à reproduire ce que j'ai pu apprendre hier, mais dans tous les cas, sachant ce que l'on peut faire si l'on ne respecte pas les droits des fichiers et chmods avec un site internet, croyez moi que maintenant je vais redoubler de vigileance. Ces informations visent Maximus, parce que nous sommes sur ce projet, mais tenez vous le pour dit: ceci est valable pour tous les cms ou scripts existants. Ce type de faille n'est pas causée par le cms en place mais tout simplement par une méconnaissance des faits, moi même je recommandais il n'y a pas si longtemps de mettre les dossiers en chmod 777, maintenant que j'en connais le pour et le contre je peux vous assurez que ce matin j'ai passé ma matinée à faire le tour de mes sites :) Allez un peu de lecture saine vous fera du bien :) Si la sécurité de votre/vos site(s) vous préoccupe alors lisez ce fil de discussion, mais ne tremblez pas quand même :) Comme quoi on n'est jamais assez pointu sur les points les plus sensibles ( marrant d'ailleurs zorteil il y a quelques jours d'ici se posait exactement ce type de question ... peut être en avait il déjà la réponse, le coquin :( ) Attention toutefois, certains hébergeurs ne tolèrerons pas les chmods recommandés, dans ce cas que faire ? 
-
Passez Maximus CMS sous PHP 5 avec hebeh.com
Je me fend d'un article car je viens juste d'avoir une longue discussion avec Alexandre de chez hebeh.com, qui me confirme que depuis plusieurs jours une migration masive de sites internets a été lancée chez eux vers PHP5. Certains auront la chance de passer dans les premiers ( par pur hasard de ce que j'ai compris ), mais ils offrent la possibilité de raccourcir le temps d'action tout simplement demandant une migration vers leurs nouveaux serveurs PHP5 Only. Moi, j'ai eu la chance de le tester déjà pour plusieurs de mes sites et je conseille fortement de demander une migration pour plusieurs raisons: La première tiens bien évidemment à PHP 5, ses capacités et performances supérieures à PHP 4. La seconde et pas des moindres en tant qu'utilisateurs de Maximus, vous n'aurez plus besoin de Fénix ( c'est le pied intégral ), puisque vous garderez la main sur les fichiers qu'apache pourrait générer. La troisième est bien évidemment sécuritaire ( pour ceux qui aurait compris pourquoi il est important que les fichiers écrits par apache ne lui appartienne pas, mais bel et bien au compte utilisateur ) La quatrième et là c'est le pied total: Maximus Update fonctionne Ceci veut dire tout simplement que je ne recoderai donc pas cet utilitaire puisque les hébergeurs sont en capactité de le faire marcher :), pour moi c'est d'autant mieux et je tiens à remercier stef et alex qui ont travaillé sur un système de type mini-vps pour solutionner ce type de déboires. Enfin mais là, ça ne nous concerne pas tous, votre php.ini ainsi que votre propre configuration apache sont modifiables sur demande, stef m'ayant confirmé que sous peu on pourra le faire depuis son compte perso directement. Une information de taille, qui me réconforte dans mon élan à mener Maximus vers PHP 5, peut être même que dans l'avenir Maximus ne fonctionnera plus que sous PHP5 car par logique ceci nous ouvre bien d'autres portes ( comme maximus update par exemple ) Voili, voilà reste plus qu'aux intéréssés à se bout la r... :) @ pluche 
-
Maximus 2008 Reloaded 10: c'est parti !
On le sait déjà depuis quelques jours, la date fatidique était ce jour le 31 octobre 2008 :) Comme d'habitude, chose promise, chose dûe et c'est avec un sacré plaisir ( en toute franchise ) que je libère cette reloaded 10 qui m'aura demandé un très grand nombre d'heures ( trop même vais je dire enrougissant :) ) On repart donc sur une version dite de maintenance avec cette reloaded 10 avec toutefois une autre ampleur que la reloaded 09, effectivement R10 est représentée par un totale de 430 fichiers faisant un poids total de 2.2 Mégas octets, ça donne toute de suite l'ampleur du dévelopement ! Pour résumer au mieux, le pack reloaded 10 c'est quoi ? Comme dans r09 tous les correctifs du bugmanager du mois ainsi qu'un nombre de correctifs que nous avons pu dénicher ci et là, unitifree, guitcorps auront en plus apportés leur pierre à l'édifice et je les en remercie publiquement. Ce pack est orienté essentiellement optimisation du référencement, grâce à l'intégration de la gestion des tags par modules mais comporte à coté de cela un grands nombre de nouveautés qui vont faire à coup sûr votre bonheur ... Vous retrouverez dans le wiki, le mode d'installation détaillé de ce pack à cette adresse Vous retrouverez aussi quelques détails croustillants dans ce forum du jour Vous pouvez dès à présent télécharger Maximus 2008 Reloaded 10 à cette adresse Enfin, sachez que le pack reloaded 10 est inclu dans le dossier reloaded du pack complet ! Dernier point, et là contrairement à mes habitudes je vais faire un copié/collé :), je vous balance ici même le changelog de cette nouvelle mouture :), et éclatez vous bien avec maximus 2008 ! Version Maximus 2008 Reloaded 10 -------------------------------- Libération au public le 31 octobre 2008 Cette reloaded comprend une nouvelle table SQL, veuillez suivre le processus d'installation consultable sur le wiki ! Ce pack est constitué de 430 fichiers d'un poids de 2.2 Mo Légendes -------- [Fix] Correctif de fonctionnement [New] Nouveauté [Sec] Sécurité [W3C] Validation des standarts W3C [UTF8] Préparation au passage à l'UTF8 [Lang] Amélioration du langage [Perf] Amélioration des performances Listing Reloaded 10 ------------------- * Neufs correctifs suite à erreurs signalées par unitifree - [Fix] ( types parenthèses manquantes ou mal placées, points virgules oubliés ou autres ) * Langage de l'administration: - [UTF8] Préparation au passage à l'UTF8 - [Lang] Francisation du module de gestion des points utilisateurs * Langage du CMS: - [UTF8] Préparation au passage à l'UTF8 * Langage de sentinel: - [Lang] Correctifs - [UTF8] Préparation au passage à l'UTF8 * Administration - [Perf] Correctif CSS/HTML boite de navigation admin ( Guitscorps ) - [Fix] Correctif - kill de sessions impossible * Administration du control center - [New] test online des chmods des dossiers et fichiers * Administration de Xiti : - [New] Clic possible sur les images et ou sur les mot à cocher - [New] Ajout du numéro de serveur xiti dans la configuration - [New] Ajout du message de confirmation transitional - [New] Nouveau bouton 'Valider ces paramètres Xiti' - [W3C] Validation W3C de la page * Administration des sitemaps Google : - [New] Ajout des messages de confirmation transitional - [W3C] Validation W3C de la page * [New] Ajout du lien d'accès à la gestion des messages dans le menu déroulant admin * Administration des messages : - [New] Modification du menu de navigation ( nouveau look ) - [New] Implantation de l'aide en ligne contextuelle - [New] Ajout du message de confirmation transitional - [New] Ajout d'une boite de dialogue de confirmation des modifications de statut ( actif / non actif ) - [New] Ajout d'une boite de dialogue de confirmation de suppression définitive d'un message - [W3C] Validation W3C du module * Administration des modules : - [New] Ajout du message de confirmation transitional - [W3C] Validation W3C du module * Administration de l'url rewriting - [Fix] Correctif array inexistant lors d'une première installation * Administration des métas: - [New] Modification du menu de navigation ( nouveau look ) - [New] Ajout du message de confirmation transitional - [Fix] Correctif du chemin des fichiers métas - [W3C] Validation W3C du module * Administration des images: - [New] Ajout du lien 'Gestionnaire des images du site' - [New] Ajout du message de confirmation transitional - [W3C] Validation W3C de la page * Administration des blocs: - [New] Modification du menu de navigation ( nouveau look ) - [New] Ajout du message de confirmation transitional - [New] Ajout de fonctions de test afin de déterminer si aucun bloc n'est dispo et visible - [New] Amélioration de la présentation générale - [New] Boite de dialogue affichant le nom réel de chaque bloc - [New] En cas de titre vide, le nom réel du bloc sera affiché en admin afin de se repérer - [Perf] [Sec] Suppression de variables au profit de constantes ( performances et sécurité ) - [Perf] [Sec] Passage au nouveau layer SQL ( performances ) - [W3C] Validation W3C du module * Administration de la base de données: - [Fix] Correctif permettant de supprimer une ligne d'une table MySQL ou une table complète ( Bug 360 ) - [New] Détection si possible ou non une sauvegarde sur site ( base de données et fichiers ) * Administration de la configuration du site: - [Fix] Correctif permettant de valider la configuration simple du site ( choix wysiwyg impossible Bug 358 ) - [Fix] Ajout d'un test de présence de FCKeditor permettant son activation - [New] Personnalisation des fichiers de bannissement * Administration de la configuration avancée du site: - [New] Amélioration de la présentation générale - [New] Ajout de l'aide en ligne contextuelle - [New] Détection des présences des fichiers qu'il est possible d'inclure ( fichiers custom: header et footer ) - [New] Détection des présences des modules statistics et ms analysis permettant de ne pas les activer s'il ne sont pas présents sur le FTP ( merci à heine pour l'idée :) ) * Administration des groupes - [Fix] Correctifs divers ( administration ) - [New] Ré-intégration rendue possible d'un compte utilisateur expiré - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Thèmes admin: - [New] Modification du lien derniers articles permettant d'afficher les 10 derniers depuis le menu déroulant * Blocs - [New] quatres blocs dédiés au tags paramétrables - Tous les tags - Les X derniers tags - Les X premiers tags - Les X tags au hasard - [Fix] bloc random headlines * Modules * Content - [New] Nouvelle présentation - admin et client - [New] Ajout des messages de confirmation transitional - [New] Ajout de la gestion des Tags par question/réponse - [Perf] [New] url rewriting hors googlestap sg - [Perf] [Sec] Passage au nouveau layer SQL - [New] Mise en CSS du module - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Downloads - [New] Ajout de la gestion des Tags par fichier téléchargeable - [New] Détection si code de sécurité actif ou non, et affichage d'un message différent dans la fiche du téléchargement - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * FAQ - [New] Ajout de la gestion des Tags par question/réponse - [New] Possibilité de sélectionner toutes les langues en utilisation multilingue - [Perf] [New] url rewriting hors googlestap sg - [Perf] [Sec] Passage au nouveau layer SQL - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Feedback - [Perf] [Sec] Passage au nouveau layer SQL - [New] Ajout des messages de confirmation transitional ( succès ou erreur ) - [New] Configuration via l'adminsttration du module - [New] Création possible jusqu'à cinq contacts avec choix sélectif pour les utilisateurs - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Encyclopedia - [Perf] [Sec] Revue totale du module - [Perf] [Sec] Passage au nouveau layer SQL - [New] Nouvelle présentation - admin et client - [New] Nouvelle page admin listant tous les termes existant ( avec tags si existants ) - [New] Ajout du chemin au sommet des pages ( coté client ) - [New] Ajout des messages de confirmation transitional ( succès ou erreur ) - [New] Ajout de la gestion des Tags par terme - [New] Mise en CSS du module - [New] Possibilité de sélectionner toutes les langues en utilisation multilingue - [Sec] Sécurisation du moteur de recherche interne - [New] Ajout du contrôle javascript 'champs vide' lors d'une recherche - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * News - [New] Ajout de la gestion des Tags par article - [New] Correctif lien 'Supprimer invisible' ( Bug 357 ) - [Fix] Ajout d'un filtre permettant de ne plus générer tout le temps le lien 'Suite' en cas d'utilisation de FCKeditor - [Fix] variables mal formatées lors de la consultation d'une catégorie * Max_Frame - [New] Ajout de la gestion des Tags par page - [New] Revue complète du module ( code optimisé ) - [Perf] [New] url rewriting hors googlestap sg - [Perf] [Sec] Passage au nouveau layer SQL - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Reviews - [Perf] [Sec] Revue totale du module - [Perf] [Sec] Passage au nouveau layer SQL - [New] Nouvelle présentation client et admin - [New] Ajout de la gestion des Tags par commentaire - [New] Mise en CSS du module - [New] Possibilité de sélectionner toutes les langues en utilisation multilingue - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Sections - [Perf] [Sec] Revue totale du module - [Perf] [Sec] Passage au nouveau layer SQL - [New] Nouvelle présentation client - [New] Ajout de la gestion des Tags par article - [New] Mise en CSS du module - [New] Possibilité de sélectionner toutes les langues en utilisation multilingue - [Sec] Sécurisation du moteur de recherche interne - [New] Ajout du contrôle javascript 'champs vide' lors d'une recherche - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Submit Downloads - [Fix] Correctif du mail mal formaté * Tags - [New] Nouveau module de recensement de tags - [New] Mise en CSS du module - [Perf] [Sec] Revue totale du module - [Perf] [Sec] Passage au nouveau layer SQL - [Perf] [New] url rewriting hors googlestap sg - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Web_Links - [New] [Sec] Ajout du code anti spam sur la proposition des liens - [Fix] Procédures installation et désinstallation - [W3C] Validation W3C du module - [UTF8] Préparation au passage à l'UTF8 * Your_Account - [Fix] Correctif erreur type 1064 ( Bug 365 ) - [Fix] Correctif du titre du mail manquant ( _MEMACT ) - [Fix] Correctifs URL Rewriting - [New] Ajout de codes erreurs lors d'un échec en identification admin ( voir wiki ) - [Fix] Correctif en cas de non utilisation du module Forums - [UTF8] Préparation au passage à l'UTF8 * Plan du site - [Fix] Correctif gestion des droits des fichiers téléchargeables - [W3C] Validation W3C du plan * Kernel - [New] Ajout de la fonction : message transitional - [Perf] [Sec] Correctif requêtes SQL mal protégées ( users.php ) - [Perf] [Sec] Correctif requête SQL mal protégée ( utility.php ) - [Perf] [Sec] Correctif update requête SQL mal déterminée ( utility.php ) - [Perf] [Fix] Suppression des dernières lignes vides du fichier debug - [Perf] [Fix] Test ajouté pour l'affichage de la mémoire utilisée ( si non dispo sur le serveur ) - [Perf] [Fix] Correctif fichiers JS appelés et non présents dans Maximus ( Guitscorps ) - [Perf] [Fix] Correctif sur trois fichiers JS dont les chemins sont erronés créant une alerte ( Guitscorps ) - [Perf] Diminution des variables utilisées dans sentinel - [Fix] Correctif des messages publics afin d'assurer la fermeture du message après une seule lecture - [Sec] Bannissement d'un nouveau robot potentiellement dangereux ( 52 au total inclus ) 
|
Flux RSS 
