Mon hebergeur ne protege pas mon site web

WRInaute occasionnel
Bonjour,
Un petit topic sur la sécurité (oui encore)
Dernierement je cherchais un hebergeur pouvant sécuriser mon site internet.
La réponse fut la même pour 90% : nous protégeons l'infrastructure et le réseau via des firewall réseau mais les ports web 80 ne sont pas sécurisé et la sécurité de se port reste a la charge de nos client en developpant leurs site internet proprement.


Est ce du foutage de geule ?
 
WRInaute accro
Ben oui, un noob fait un formulaire de connexion simple, sans traiter côté serveur les entrées du formulaire, et fait ensuite le test de couple login / mot de passe dans la même requete SQL, paf une belle faille de sécurité. Que veux tu qu'ils puissent y faire ? Ils vont pas auditer tout le code des sites qu'on place sur leurs serveurs non plus .
 
WRInaute passionné
Bonjour,

pour obtenir une sécurisation du serveur à la demande, il faut opter pour une infogérance : ce n'est pas gratuit car cela demande du travail à d'excellents techniciens. Les hébergeurs ne disent pas non pour tout, ils répondent, "non" dans le cadre d'une offre en mutualisé... Ensuite, ils disent oui sur des serveurs dédiés avec un coût (assez élevé).
 
WRInaute accro
Il n'y a pas de miracle, il ne peut pas y avoir de sécurité absolue. Mais quelques mesures à prendre:
- si tu utilises des softs existants, s'assurer que tu as toujours la dernière version.
- si tu développes toi-même, toujours vérifier toutes les entrées côté serveur, et bien "quoter" comme il faut tout ce que tu passes à ton serveur SQL (c'est nettement plus simple avec perl/DBI ou en utilisant PDO en php, mais c'est faisable). Ditto si jamais tu utilises "system" ou que tu construits des noms de fichiers avec des données externes
- utiliser un outil de test d'intrusion (McAfee Secure, Komodo, etc.)
- utiliser un outil de détection d'intrusion (snort etc.)
- un firewall avec des règles "dynamiques" (mises à jour régulièrement comme avec un anti-virus) pourra aussi aider à lutter contre les failles connues dans les softs existants.

Il est difficile voire impossible de filtrer et bloquer toutes les failles a priori: ce n'est pas parce qu'il y a un bout de SQL dans une requête que c'est forcément anormal (hint: phpmyadmin etc.), et je ne parle même pas de l'envoi de binaires (pour les attaques par buffer overflow etc.). En plus, il y a beaucoup de choses qui sont facilement faisables en "asynchrone" sur du mail par exemple, où un délai de quelques secondes pendant qu'un anti-virus filtre tout n'est pas bien grave, contrairement à un site web où il faut que ça aille vite.

Bref, non trivial, et je trouve normal que tu ne trouves pas ça dans les offres toutes cuites de la plupart des hébergeurs...

Jacques.
 
WRInaute accro
quand tu achètes une voiture, il ne garantissent pas que tu n'aura jamais d'accident ! c'est impossible.
applique la réponse à un site web
 
WRInaute passionné
cr500 a dit:
http://www.cortina.fr/_firewall-applicatif.php


premiers liens dans google


d'abord il faut comprendre ce qu'est un firewall applicatif : un firewall applicatif n'est autre qu'une application (ou appliance) dédié à protéger une ou plusieurs applications connues dont les protocoles et les modes de fonctionnement sont bien définis !

tu peux toi même écrire un firewall applicatif pour ton site si tu métrise bien ces entrée/sorties, d'ailleurs, c'est ce que chaque développeur d'application web sérieux fait sans s'en rendre compte.

Le firewall applicatif n'est qu'une suite de testes pour valider une entrée.
exemple très simple, on peut facilement créer un script qui interdit tous les mots clé SQL pour interdir les injections.

ceci dit, l'écriture d'une firewall applicatif générique est impossible, puisque fort dépendant de ce que tu veux protéger.

Le meilleur moyen de se protéger reste le fameux bon vieux "daily backup", un petit script .sh, un cron job. et on a la garantie de retrouver au moins les données de la veille en cas de pepin.
 
Discussions similaires
Haut