THELIA Forum

Welcome to the THELIA support and discusssion forum

Announcement

Rejoignez la communauté sur le Discord Thelia : https://discord.gg/YgwpYEE3y3
  • Index
  • Thelia 1
  • Divers
  • Suggestion quand au changement du nom de répertoire d'administration

Offline

#1 Suggestion quand au changement du nom de répertoire d'administration

(17-09-2007 11:06:35)

Bonjour,

Je viens de changer le nom du répertoire d'administration pour des raisons de sécurité évidentes (voir les posts sur les injections SQL dans la zone d'admin). Le problème, même si ça fonctionne, c'est que certaines fonctions ne marchent plus tels que la visualisation des factures PDF.

Il serait judicieux de prévoir ce cas de changement du nom du répertoire d'administration pour la raison suivante :

Thélia est un logiciel qui va devenir de plus en plus populaire, autrement dit, les risques vont se multiplier. Etant donné que l'on met un petit lien en bas des pages, ce qui est juste et normal, vers le site thelia (propulsé par thelia), celà identifie le type de boutique et donc les possibles failles de sécurité.

A bon entendeur ^^

Et merci pour tout l'énorme travail de développement qui a été fait.

Offline

#2 Re: Suggestion quand au changement du nom de répertoire d'administration

(18-09-2007 14:24:00)

Hello,

Renommer le repertoire admin ne me semble pas être une bonne politique de sécurité, voir ne pas être une politique de sécurité tout court ...
Plusieurs solutions sont possibles et pour n'en citer que quelques unes:

- par fichier htaccess avec une authentification par login/pwd
- suivant le referer ( http://forum.thelia.fr/viewtopic.php?id=309 )
- suivant l'ip de connection (si pas d'ip fixe, tu peux monter un vpn et te connecter à l'admin à travers le vpn)
- suivant le referer tu rebalances les connexions a destination du BO sur une fausse boutique, avec une fausse base, (un peu comme un honeypot)
- en se penchant sur mod_security

Encore une fois, ce ne sont que quelques idees ... mais ce n'est pas en renommant un repertoire que tu seras à l'abri d'injections SQL

Offline

#3 Re: Suggestion quand au changement du nom de répertoire d'administration

(20-12-2007 13:26:06)

Sans vouloir creer un autre post sur les suggestions de nommage
j'utilise plusieurs applis dont une home-made dans la meme DB mysql
hebergee chez OVH (en general 1 ou 2 disponibles seult fct des abonnement).
Et le pb vient quand il y a collision sur les noms
de tables Mysql. Exemple : mon appli a une table "adresses" tout comme
Thelia !
total  je dois donc changer ma table "adresse" de nom et repasser partout dans  le php
puis repasser en test !

et j'ai compris pourquoi certaines equipes opensource
mettent des prefixes devant leurs tables  (dolibar: llx_xxxxx , spip: spip_xxxx ... ) ,
et/ou personnalisent le nom de leur racine de fichiers !
ca permet de toutes les faire cohabiter sans pb sur le mm site!

Merci
JLEM

  • Index
  • Thelia 1
  • Divers
  • Suggestion quand au changement du nom de répertoire d'administration