THELIA Forum

La meilleure politique en terme de sécurité étant d'etre parano, j'ai pensé interessant de vous soumettre une petite parade pour l'acces à la partie administration. Je doute qu'il existe deja des scripts de bruteforce ou des exploits de thelia, mais sait on jamais ...

Bref, je ne souhaite pas que n'importe qui puisse avoir acces à l'interface de login de la partie administration de ma future boutique (la date d'ouverture approche ^^), du coup j'ai pensé a plusieures solutions dont celle d'un htacces en fonction de l'ip. Efficace si on dispose d'une ip fixe pour se connecter à son site, mais avec une ip dynamique ... pas interessant. Du coup je filtre suivant le referer:

RewriteCond %{HTTP_REFERER} !^http://toto.domaine.tld.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.domaine.tld/admin/.*$ [NC]
RewriteRule ^admin/* /404.html [R]

En gros si quelqu'un fait une requete sur http://www.domaine.tld/admin il sera redirigé vers ma page 404 en l'occurence http://www.domaine.tld/404.html lui indiquant que la page demandée n'existe pas.
En revanche si la requete provient de http://toto.domaine.tld/tralala.html (par exemple) il sera alors possible de naviguer sur http://www.domaine.tld/admin/ (dans mon cas http://toto.domaine.tld/ est protégée par un htaccess login/pwd )

Ca peut paraitre compliqué à la lecture de ce post, mais la mise en place est très simple, c'est tout à confortable à l'utilisation, et surtout ... ca me rassure

Commentaires et suggestions sont les bienvenues.

OUi mais si on connait l'url de ta page d'admin on peut facilement simuler le referer.

Avec des outils qui scannent les répertoires et fichiers présents sur ton serveur du genre intellitamper.

Last edited by Tiger (24-06-2007 14:17:04)

Bonjour,

je viens aux nouvelles de cette technique qui me semble intéressante.
L'avez-vous expérimenté ?

Et n'ayant aucun acces aux logs tu ne verras pas les brutes force par exemple. Avec un peu de patiencfe, quelques proxy, et un minimum de discrétion ...
Moi je préfère "faker", mais ca reste effectivement une solution le "double login" (htaccess + login du BO).
Par contre il faut garder en tête que ces login/password passent en clair, et il est très simple de les intercepter.
Pour moi la meilleure solution reste de restreindre l'administration de sa boutique à travers un VPN ou un tunnel. Et ce n'est pas spécifique à Thélia bien entendu.
Un autre sujet avait également été developpé ici : http://forum.thelia.fr/viewtopic.php?id=915

Last edited by psai (17-10-2007 16:04:53)

C'est tout à fait faisable à l'aide d'un htaccess par exemple, avec les directives Allow et Deny d'apache, et tu peux très bien restreindre à un subnet, une ip publique ou une ip faisant partie d'un vpn.
http://httpd.apache.org/docs/1.3/mod/mo … html#allow

Mais restreindre à une plage d'ip d'un pays, c'est comme donner des armes uniquements aux enfants de 12 à 14 ans. Ca restreint mais bon ...

Last edited by psai (17-10-2007 16:47:07)

Il faut que tu place une page (un truc tout simple fera l'affaire) avec un lien vers le BO. En gros tu creer une page sur (toto.domaine.tld) mapage.html où tu place un lien de la sorte

<a href="http://www.domaine.tld/admin/">Lien vers le BO</a>

Du coup tu te rends sur http://toto.domaine.tld/mapage.html , tu cliques sur le lien et tu arrives sur le BO. Coté serveur il se passe quoi ? Le serveur voit une requete vers /admin, constate que ca provient bien de toto.domaine.tld et du coup te laisse acces à la partie admin.
Tu saisis mieux ?

Tu veux dire ca te renvoi sur http://www.domaine.tld/404.html c'est ca ?

Euh non mais là tu dosi te planter quelque part. Tu peux developper ce qui tu as fais et ce qui se passe exactement ?

J't'en pris
Cependant j'ai un doute si tu as bien compris le fonctionnement de ces règles de réécriture. Un peu de lecture sur les expressions régulières devrait t'éclairer