plutot CMS/Framework, si oui, maison/payant/GPL ?

S
sonn
WRInaute discret
Bonsoir à tous,

Je viens de m'inscrire pourtant je visite le site très souvent, et je remercie toute l'équipe et les gens qui le font vivre ;)
Je me demande quelles sont vos préférences dans la réalisation d'un site :
CMS ?
FrameWork ?
Maison ?

Je me doute bien que le sujet as déjà du être évoquer dans un, voir plusieurs sujets, mais c'est surtout aux gens qui travaillent en Framework ou totalement maison que je m'adresse, je travaille sur un framework php codé à partir de rien, j'y réfléchis depuis plusieurs semaines et je commence vraiment à coder.

FrameWork
Maison
Simple (euh ça, c'est uniquement pour moi :lol: )
Evolutif
Cascade Modulaire
Sécurité
Accessibilité
Multi-langue
Php, Html5, MVC, (POO peut-etre...)
Open Source ( GNU GPL )

J'ai une architecture un peu bizarre, je dirais,
un dossier de boot_01 (qui charge l'essentiel à toute les pages)
un dossier bundles (terme pris à un framework :p ) qui contient boot_02 qui charge le supplément pour le forum, blog, présentation en fonction...
un dossier modules qui regroupe des bouts de site que je peux mettre partout avec un boot_03 qui charge le supplément pour chaque module appelé
un dossier papers qui stocke tous le reste :p
index.php qui charge l'url de la page passé en parametre

(Je me retrouve avec énormement de fichiers pour générer une seule page, mais tout est super hiarchiser, mais je mettrais bien évidament un systeme de cache)

Tout ce que j'affiche, est stocké dans des variables, se qui me permet de changer très facilement de langue. Toutes mes variables sont sécurisés avec un fichier cron.php, il y à déjà un script anti-"ddos" (plutot aspirateur mais c'est moins vendeur :lol: ) un script qui bannis les ip en cas de comportement de blackhat (tentative d'utilisation d'une faille include par exemple)

Je vous mettrais bien une archive de tout ça (projet de merde, mais gpl quand meme :roll: ) mais j'ai pas d'hebergeur correcte sous la main...

Je fait ça, avant tout pour moi (qui ne supporte pas les codes des autres en général) (je suis un maniaque, indentation, commentaires, etc...) mais aussi pour partager si ça intéresse des gens. Je demande pas mal sur des forums de hack sérieux pour vérifier mes codes et je repasse dessus de nombreuses fois pour éviter des failles. Par exemple, mes mdp sont pas des md5 mais un whirlpool modifié par moi :p (J'ai pas encore demander à des mathématiciens de vérifier le risque de collisions mais bon... ça me semble un peu dur à casser comme protection) (enfin... à coté de md5 il n'y pas à dire :lol: )

$SEL ="%:#[?µ";
$pseudo ="sonn";
$id ="1125";
$password="aazertyd";
$time =1331042958;

$shift=($id+(strlen($password)*strlen($password)))%128;

$rand1=rand(1,6);

if($rand1==1)
{ $hash=$password.$SEL.$time; }
elseif($rand1==2)
{ $hash=$password.$time.$SEL; }
elseif($rand1==3)
{ $hash=$time.$password.$SEL; }
elseif($rand1==4)
{ $hash=$time.$SEL.$password; }
elseif($rand1==5)
{ $hash=$SEL.$time.$password; }
elseif($rand1==6)
{ $hash=$SEL.$password.$time; }

$hash=hash('whirlpool',$pseudo.$hash);
$part1_hash=substr($hash,0,$shift);
$part2_hash=substr($hash,$shift,128);

$hash=$part1_hash. dechex(2*$rand1).$part2_hash;

echo $hash;

J'ai que 16 ans mais le web me plait beaucoup et je préfère coder moi-meme qu'utiliser les outils des autres ;) De plus j'ai peut-etre des codes qui serais difficile à mettre en place, comme un css dynamique, mais bon... je suis un loob en cms, je peux me tromper :D Mon framework seras pas parfait, c'est sur. J'ai pres de 200 fichiers pour générer une dizaine de pages, le nombre d'include fait peur et les dépendances aussi, mais j'ai un systeme que je trouve très flexible, modifiable page à page, facile de création de modules, de traduction, de mise en place de sécurité, d'ajax aussi ;) bref MOI ça me convient :) Et je partage à ceux que ça plait. (les autres sont nuls :arrow: )

Voilà, vive le partage :D J'essaye de vous mettre une archive dans l'heure ;) J'aimerais avoir vos réactions, interrogations, et ce que vous mettez dans vos sites (histoire de voir si je pourrais mettre ça facilement dans mon fw pour tester sa flexibilité ;) )

Votre site m'as beaucoup apporté (et je l'espere continueras), alors je trouve normal de rendre un peu de mon temps 8)
 
zeb
zeb
WRInaute accro
sonn a dit:
(J'ai pas encore demander à des mathématiciens de vérifier le risque de collisions mais bon... ça me semble un peu dur à casser comme protection) (enfin... à coté de md5 il n'y pas à dire)
Cliquez pour agrandir...
C'est pas md5 qui est fragile, c'est surtout l’utilisateur qui ne fourni pas ce qu'il faut en amont comme mdp ...
Après faut aussi se poser la question de ce que tu protège (genre Nasa ou "boutique à papa") et pour finir, l’environnent de ton application ne sera pas plus sécu avec un code "blindé", donc mis a part te dire c'est pas par moi qu'il sont entré quel est l'avantage de bouffer du temps machine ? Sachant de plus que la grosse majorité des utilisateur de PC on un windows avec compte admin et mot de passe branlant quand il en ont un, ou pense tu que se trouve la faille ?

Sinon les sites vulnérables le sont surtout par leur code pas par leur fonction login / logout.

Sinon juste pour savoir ça :
Code: 
$SEL ="%:#[?µ";
$pseudo ="sonn";
$id ="1125";
$password="aazertyd";
$time =1331042958;
Tu le stocke où ?
 
S
_Soul
WRInaute impliqué
Salut,

Un CMS ta une base toute faite, un framework tu rajoutes de modules.

Je te conseilles de partir sur du symfony, en y passant un peu de temps tu peux faire des trucs monstrueux et c'est réutilisable et surtout customisable.

Faire un développement maison ne sert à rien si tu sais déjà coder, c'est pour apprendre, pas pour vendre.

Bonne chance.
 
zeb
zeb
WRInaute accro
_Soul a dit:
Faire un développement maison ne sert à rien si tu sais déjà coder, c'est pour apprendre, pas pour vendre.
Cliquez pour agrandir...
Ou disposer d'un produit que tu connais par cœur et que personne ne connais :wink:
 
S
sonn
WRInaute discret
Merci de vos réponses.

@zeb, md5 en lui-meme, pas vraiment, mais les mots de passes simples sont un fléau (bien qu'il soit impossible dans mon application car je testerais la longueur/diversité/fréquence du mdp) mais plutot que les ordinateurs ont eu le temps de générer d'énormes table de conparaison (la plus grande que j'ai trouver c'est 600.000.000) donc ouais, mon truc est lent, mais plus sure, et je préfère baisser la sécurité quand le serveur ne suit plus, que chercher à la renforce plus tard ;) Mais effectivement c'est discutable :)
le sel est la seule variable qui est stocker dans mon fichier php, le reste étant dans la BDD, (note que la longeur du mdp est une clé qui permet d'obtenir le vrai hash, avec la mauvaise longueur, le hash est brisé)

@Soul, je sais bien ça, mais le principe meme me reboute, si t'as des connaisances, tu les utilise, t'auras quelque chose dont tu sait comment ça tourne et comment le modifier, car ton cms tu connait chaque ligne de code ? pareil pour ton framework ?
Bref, là n'est pas la question, je dévellope en perso, je changerais pas ;)
 
F
franckM
WRInaute impliqué
car ton cms tu connait chaque ligne de code ?
Cliquez pour agrandir...

Tu apprends à la connaître... et après tu le connais tellement que c'est comme si tu l'avais codé toi même... sauf que des centaines de personnes ont planché dessus depuis plusieurs années...

C'est comme si t'étais un super-mécano et tu dis "nan moi je vais développer mon propre bolide" alors que tu pourrais prendre une porsche et la "customiser" pour la transformer en bolide.
 
S
sonn
WRInaute discret
Ok j'ai compris votre position. Vous préférez utiliser les outils des autres pour avancer plus vite, je comprend.
Ouais, mais t'aurais pas le plaisir de tous faire toi-meme et de pouvoir dire "ça je l'est fait entierement tout seul" bref on as une autre mentalité ;)
 
F
franckM
WRInaute impliqué
Ce n'est pas une question d'avancer plus vite c'est que aujourd'hui tu as des outils qui ont étés développés par des centaines de personnes depuis plusieurs années dont certaines certainement plus chevronnées que nous tous réunis.
Et que plusieurs années ne te suffiront pas à égaler ça.

Prends rien qu'une boutique en ligne comme Prestashop (je parle même pas de Magento!) tu sais ce que ça représente comme travail ? des milliers d'heures de travail qu'il te faudrait des années pour y arriver et encore tu n'y arriverais pas seul.

Et puis crois moi il y a autant de plaisir à apprendre à maîtriser des CMS parfois assez hard niveau conception avec des moteurs de template par exemple et orientés objet que de vouloir tout programmer de A à Z.
 
L
Leonick
WRInaute accro
sonn a dit:
mais les mots de passes simples sont un fléau (bien qu'il soit impossible dans mon application car je testerais la longueur/diversité/fréquence du mdp)
Cliquez pour agrandir...
tout dépend ce qui est sensé être protégé, mais c'est prendre un marteau piqueur pour écraser une mouche, le plus souvent. Est-ce nécessaire d'avoir un tel niveau de protection, sachant qu'il suffit de faire une attaque par dictionnaire pour retrouver 80% des password. Dans le temps, je gérais un réseau informatique et certains utilisateurs avaient collé un post-it avec leur password sur leur écran, c'est te dire la sécurisation :mrgreen:
 
zeb
zeb
WRInaute accro
franckM a dit:
Ce n'est pas une question d'avancer plus vite c'est que aujourd'hui tu as des outils qui ont étés développés par des centaines de personnes depuis plusieurs années dont certaines certainement plus chevronnées que nous tous réunis.
Et que plusieurs années ne te suffiront pas à égaler ça.
Cliquez pour agrandir...
C'est faire peux de cas de l’innovation, de l'esprit d'entreprendre et de pas mal de chose encore ...
Le sujet ici n'est pas dans une logique commerciale.

Si tu prend le cas de l'auteur du sujet qui n'a que 16 ans, il y a fort a parier que dans 4/5 ans sont système soit l'équivalent d'un autre sur le marché si il y met son cœur. De plus et, je parle d'expérience, ce genre de système closed source a toutes ses chances surtout sur le domaine de la sécurité où la connaissance du code source est responsable de 90 % des hacks (faut bien se rendre a l'évidence, les kévins ne sont pas légions et se faire torpiller un site relève surtout de l'exploitation de failles connues issues en grande partie du facteur reverse (très rare) et open source).

Maintenant il est vrai que dans un monde de webmaster, en grande partie composé de mauvais codeurs (désolé pour eux c'est une réalité pas une critique péjorative) la solution de réutilisation est celle qui s'impose. mais il ne faut pas non plu mettre au tas d'autres options qui sont elle a la base de gens comme Sonn. parce que concrètement, si un "allumé" n'avait pas décidé un jour de poser les bases d'un spip ou joomla beaucoup serait ici au chômage ...

C'est d'autant plus risible qu'a chaque fois qu'un bleu se pointe pour présenter son "nouvel annuaire" il se voie renvoyer dans ses cales car c'est encore un arfoo ou un freeglobe. Vous en avez déjà codé un de A à Z d'annuaire ? Idem pour un Forum ?
C'est encore plus risible quand certains viennent se plaindre que 1&1 tape des grosses pubs télé en proposant du joomla ou du WP en un clic ... ça serait moins possible si a la base les ré-utilisateurs de roues n'avait pas posé sur un piédestal ces systèmes et si un peut plus de monde innovait tous les jours

Tous ça c'est comme pour les OS alternatifs ... (qui font le bonheur de l'industrie avec leur solutions "pas chère") Combien auront le cran de placer 5/6 lignes de C dans un code source pour faire avancer le problème et combien vont se contenter d'attendre le résultat ? Si cet exemple n'est pas parlant demande toi ce qu'il en serait si Apache n'avait pas ouvert son code ? on payerait tous des fortune a Microsoft pour utiliser IIS ? On peut faire le même dessin avec l’esprit de Rasmus Lerdorf pour php ... et du coup le remercier de ne pas être esclave de ASP.

Des gens qui pensent que réinventer la roue est une bêtise j'en croise tous les ans en jury d'exam quand il faut évaluer leur stage entreprise. Je voie passer des tonnes de joomla et autre CMS open source ou mes prétendus "codeurs" exposent fièrement leur travail de lecture de tuto. Si on met de côté le fait que ça ne fonctionne pas toujours, combien sont réellement allé au bout de leur formation pour apprendre a coder ?

Maintenant exposer toutes les péripéties d'un projet d'envergure est surement une conduite plus productive que de dénoncer l'inutilité de partir de rien. ça serait comme dire a un enfant qui te montre son dessin qu'il viens de faire que c'est une connerie car il en a plein des mieux dans son livre d'image. Bref ça va vachement faire avancer les choses pour lui.

Bref ... il faut des gens qui osent et il y aura toujours ceux qui suivent, il ne faut pas pour autant décourager ceux qui osent sous prétexte que ceux qui suivent son plus nombreux et détiennent la "connaissance" de ce qui se fait en majorité.
 
L
Leonick
WRInaute accro
zeb a dit:
Si tu prend le cas de l'auteur du sujet qui n'a que 16 ans, il y a fort a parier que dans 4/5 ans sont système soit l'équivalent d'un autre sur le marché si il y met son cœur. De plus et, je parle d'expérience, ce genre de système closed source a toutes ses chances surtout sur le domaine de la sécurité où la connaissance du code source est responsable de 90 % des hacks (faut bien se rendre a l'évidence, les kévins ne sont pas légions et se faire torpiller un site relève surtout de l'exploitation de failles connues issues en grande partie du facteur reverse (très rare) et open source).
Cliquez pour agrandir...
entièrement d'accord
zeb a dit:
C'est d'autant plus risible qu'a chaque fois qu'un bleu se pointe pour présenter son "nouvel annuaire" il se voie renvoyer dans ses cales car c'est encore un arfoo ou un freeglobe. Vous en avez déjà codé un de A à Z d'annuaire ? Idem pour un Forum ?
C'est encore plus risible quand certains viennent se plaindre que 1&1 tape des grosses pubs télé en proposant du joomla ou du WP en un clic ... ça serait moins possible si a la base les ré-utilisateurs de roues n'avait pas posé sur un piédestal ces systèmes et si un peut plus de monde innovait tous les jours
Cliquez pour agrandir...
là aussi, entièrement d'accord
qu'apporte réellement une webagency qui fait uniquement de l'installalation de WP par rapport à OVH ou 1&1 qui le préinstalle d'origine ? au mieux une charte graphique !
zeb a dit:
Des gens qui pensent que réinventer la roue est une bêtise j'en croise tous les ans en jury d'exam quand il faut évaluer leur stage entreprise. Je voie passer des tonnes de joomla et autre CMS open source ou mes prétendus "codeurs" exposent fièrement leur travail de lecture de tuto. Si on met de côté le fait que ça ne fonctionne pas toujours, combien sont réellement allé au bout de leur formation pour apprendre a coder ?
Cliquez pour agrandir...
absolument, car quand on tombe sur certains tutos sur php ou mysql, voire google map, etc... ce ne sont que des recopies (très souvent non comprises) des tutos de base, souvent, on se demande même si l'auteur de ce n-ième tuto a lui même testé ce qu'il a écrit :evil:
 
F
franckM
WRInaute impliqué
Nan mais Zeb t'énerves pas et me fais pas un roman non plus :mrgreen:

Il ne faut pas se méprendre sur ce que je dis. Je ne dis pas que l'innovation, l'envie de faire les choses par soi même est une mauvaise chose, loin de là.
Mais en même temps, "bannir" (parce que c'est bien ce qu'il dit) des solutions open-source sous prétexte de tout vouloir faire soi même je trouve ça pas forcément malin non plus.

Pour reprendre l'exemple de Prestashop, je suis sûr que quelqu'un qui veut apprendre a beaucoup à apprendre d'un CMS comme celui-ci car il est (je trouve...) bien codé et permet d'en apprendre beaucoup sur la POO ou par exemple sur le moteur de template Smarty assez puissant.

Je ne parle pas forcément d'un CMS type wordpress. Il m'est arrivé souvent de faire des sites en programmant entièrement l'interface de gestion utilisateur et d'autres fois d'utiliser...Wordpress ou de faire un système de petit e-commerce maison.

Après, que des gens aujourd'hui se lancent dans le buisness sans savoir coder et en utilisant ces outils, c'est une certitude c'est pas non plus pour cela qu'il faudrait les bannir.
 
S
_Soul
WRInaute impliqué
Sur wordpress ta les milliers d'utilisateurs, il y a donc peu de failles, sur un code perso, personne essayera de trouver une faille et le jour ou ça arrive, va y pour le savoir...

Mettre du code perso sur le site d'un client sans avoir fait un audit de sécurité avant c'est un peu dangereux quand même, surtout si c'est une boutique, la il faut être suicidaire. Je me débrouille en dév et depuis un an j'ai fais que des plugins, pas toucher à mes anciens CMS qui pourtant marchait très bien.
 
zeb
zeb
WRInaute accro
franckM a dit:
Nan mais Zeb t'énerves pas et me fais pas un roman non plus :mrgreen:
Cliquez pour agrandir...
:lol: franckM, ne t'inquiète pas, je reste Zen, j'ai surtout envie qu'on dépasse un peu les niveau général et généralisé pour donner envie a certains de réinventer "Google" ou "Microsoft" dans notre petit pays qui bride plus qu'il ne favorise la libre entreprise et l’innovation. Bref je pense (mais c'est un avis juste perso) qu'il faut pousser les créateurs réels a aller de l'avant même si le marché est saturé. mon simple référent est l'invention du transistor, qui est Française et qui bien qu'utilisé partout sans discussion possible ne favorise pas la France mais les fondeurs Nipon et US qui on pris le truc au vol ... (et nous, Français, pauvre "bon", de l'histoire ne somme même pas capable de produire un microprocesseur viable)

franckM a dit:
Il ne faut pas se méprendre sur ce que je dis. Je ne dis pas que l'innovation, l'envie de faire les choses par soi même est une mauvaise chose, loin de là.
Mais en même temps, "bannir" (parce que c'est bien ce qu'il dit) des solutions open-source sous prétexte de tout vouloir faire soi même je trouve ça pas forcément malin non plus.
Cliquez pour agrandir...
"bannir", je sais de part ton recul et ton métier que tu sais très bien que ce sont des propos de "jeune". Il comprendra très bien et peut être est ce déjà le cas que ce qu'il dénigre est sa force. Il prendra de ses "ennemis" ce qui fait leur force et il apportera a tous sa contribution. C'est en ce sens, même si on sait que la tache est ingrate et difficile qu'il faut le pousser en sachant très bien qu'il va d'une certaine façon au casse pipe.

franckM a dit:
Pour reprendre l'exemple de Prestashop, je suis sûr que quelqu'un qui veut apprendre a beaucoup à apprendre d'un CMS comme celui-ci car il est (je trouve...) bien codé et permet d'en apprendre beaucoup sur la POO ou par exemple sur le moteur de template Smarty assez puissant.
Cliquez pour agrandir...
Bien sur que tu as raison :wink: Je dois même t'avouer qu'a l'heure ou j'ai du adapter mon propre code perso au exigences du marché c'est vers leur modèle de donnée que je me suis tourné pour développer mon propre CMS en système compatible "vente en ligne". Pourquoi ? tout simplement car il est aboutit et complet (enfin presque :wink: ) et que je souhaitait une reprise, "possible et facile" d'existant. mais il n'en reste pas moins qu'il faut faire preuve de grande lucidité dans la réutilisation de code.

Ce concept fort novateur apparait dans les années 90 / 2000 avec la POO. il est vrai qu'a cette époque ou le procédural faisait la loie, l'idée était bonne, mais pas au sens "microsoft" qui consiste a empiler patch sur patch pour faire un semblant de système solide, pas non plus au sens JQuery qui consiste au final a proposer la "solution miracle a tous les maux" avec 2 terra de code en général.

Réutilisation devrait (a mon sens) être pensé comme une sorte de principe qui consiste a s'appuyer sur des "concepts" ou des "parties d'applications" reconnues comme éprouvées. Pas comme une absolution d'un produit (fiable ou pas) qui fait une unanimité "politique".

De façon pragmatique je ne m'insurge pas contre ton propos, je le trouve même "raisonnable" dans le contexte économique actuel, mais ce qui me fait très mal, c'est de tenir ce propos vis a vis d'un gars qui a envie d'en découdre (et sur le web c'est assez rare) alors que le web Francophone de demains c'est des solutions nouvelles auquel la culture anglophone n'est pas encore préparée. Comprend par là que nos petits 5% de trafic mondial (belges, canadiens et nord Maroc confondus) ont tout a gagner en se montrant innovant et différents pour renvoyer GG là ou il devrait rester (prestataire de nos sites et pas nos sites dépendant du dieux GG tout puissant). Nous avons une culture et une identité (très riche d’ailleurs) .... cultivons la différence et créons d'autre horizons ... (mode "OK je rêve" mais j'ai des enfants, je leur souhaite pas ce que je dois supporter)

Sinon pour conclure, tes propos ne m'ont jamais semblé "débiles" je pense surtout que sur WRI on devrait plus se battre pour "nous" que pour "la norme du web" qui n'est pas la notre en vérité.

Amicalement. ;-)
 
S
sonn
WRInaute discret
@franckM Je comprend parfaitement que les cms sont dévellopés par plus de gens que moi et plus expérimentés et ça serais logique d'utiliser leurs outils, mais je me souviens d'une faille de sécurité importante, une simple variable GET et tu réinitialiser le mdp admin, donc c'est pas parfait non plus, et je n'aime pas confié ma sécurité à des tiers, je peut réfléchir 3 jours sur une ligne de code pour etre sur qu'elle ne seras pas une faille. Bien sur que leurs travails se comptent en milliers d'heures, mais on t'on vraiment besoin de tous ça parfois ?

@Leonick Oui, je suis conscient de je taffe avec un niveau de sécurité qui se veut haut pour ce qu'il est, mais comme je l'ai déjà dit je préfère baisser la sécurité en temps voulu, que galerer à mort à sécurisé... Sauf qu'une attaque par dictionnaire est impossible grace à un anti-force-brute, autant du coté client, et il y a l'algo modifié pour empecher de retrouver les mot de passes si un blackhat accède à ma bdd. Mais effectivement les membres sont des cons =p faut juste limité la casse...

@zeb merci de ton soutient XD C'est vrai qu'il y a beaucoup de mauvais codeurs, juste un exemple tiré du sdz :
Code: 
if(!preg_match("#".$pass2."#", $pass))
			{
				$messageerreur = $messageerreur . 'Mots de passe non identiques <br />';
				$erreur = $erreur + 1;
	}
Je sais pas vous, mais moi ça me pique les yeux, surtout que je suis un maniaque d'indentation et du code en général... Je comprend que c'est plus facile et en général plus sur de confier son site à un CMS, mais là n'est pas la question, je veux dévelloper mon propre framework pour m'aider à creer la plupart des sites que je pourrais faire dans l'avenir en ayant une base qui réponde à toutes mes éxigences (dur, dur...) et qui soit facilement modifiable, etc....

@franckM Je les bannis pas, je trouve ça bien que n'importe qui puisse faire son site (meme si c'est la mort du taff de certain d'entre vous :p), tout simplement ça ne touche pas le meme public ;)

@_Soul Bien évidamment que mon code seras testé, d'ailleurs mes codes sont sur des forums de whitehat et je suis tellement lent à coder que je ne pense pas qu'il y ai de faille :)reveur:) Et pour le moment, c'est uniquement sur mon serveur local et personne ne l'utilise donc je voit pas le probleme.

Mais s'il vous plait, je pense l'avoir déjà dit, je ne veut pas entrer dans ce genre de débat sans fin... Juste demander comment font les gens qui code eux-meme la totalité de leur sites.

Voilà le lien de téléchargement de l'archive de la dernière version http://tpe.hostei.com/0007;2012-03-10;14:59.zip
(c'est du devellopement, hein!!)
 
zeb
zeb
WRInaute accro
_Soul a dit:
Mettre du code perso sur le site d'un client sans avoir fait un audit de sécurité avant c'est un peu dangereux quand même, surtout si c'est une boutique, la il faut être suicidaire. Je me débrouille en dév et depuis un an j'ai fais que des plugins, pas toucher à mes anciens CMS qui pourtant marchait très bien.
Cliquez pour agrandir...
Je dois être suicidaire alors ...
Mais bon quand il y a un souci je suis vite au courant (ça prend pas 24 Heures) et quand j'ai eu tous le contexte du souci je sais là ou ça se passe. C'est pas le cas pour toi ?
Parce que concrètement, bien sur qu'on est pas "monsieur code" ni "superman" mais on est pas aussi "monsieur *on" et que la relation qu'on a avec nos clients inclus une forme de confiance qui fait qu'on est derrière eux tous le temps en cas de coup dur car c'est d'eux que dépend notre avenir :wink:

Bref j'ai eu 2 cas en 5 ans de "faille" soucieuse. Pour la petite histoire une était due a un souci de code pas pris en compte a la conception mais qui m'a permis de "fermer la porte" a 4/5 autres failles possibles ailleurs (merci le bidouilleur) et l'autre due a un souci "utilisateur" qui divulguait (sans s'en douter) des informations sur le site qui ne devais pas être exposée (ça c'est résolu en méttant en place une politique "administrateur" en mode "trop *on").

Dans les deux cas ces souci, m'ont amenés a évoluer ... comme sur n'importe quel système open source ou propriétaire.

Sonn a dit:
Mais s'il vous plait, je pense l'avoir déjà dit, je ne veut pas entrer dans ce genre de débat sans fin... Juste demander comment font les gens qui code eux-meme la totalité de leur sites.
Cliquez pour agrandir...
Arf ! :D Si tu est comme moi, attend toi a avoir des nuits blanches et a te faire du souci pour ceux don tu défend les couleurs. Mais si, encore, tu aime comme moi les solutions perso, attend toi a trouver souvent rapidement les solutions aux problèmes auquel tu est confronté (toi directement en tant qu'éditeur ou pour tes clients).
A titre perso, dès que j'ai une remonté de bug ou hack, je passe beaucoup de temps a me faire décrire le contexte, ensuite je passe un peux de temps a étudier les logs apache, et pour finir quand tu as fatalement identifié l'action qui provoque le problème, tu as juste une ou deux lignes de codes a corriger en souriant et en te disant "bordel c'est évident".

Pour être totalement honnête, je suis pas Monsieur WP ou Joomla et encore moins Spip, et je suis pas non plu "monsieur super code". Mais comme je connais mon système par cœur celui qui me trouve une faille, même par accident, il ne me cause pas autant de souci que cela et ça ne prend pas 48 heures pour calmer le farfouilleur.
 
L
Leonick
WRInaute accro
sonn a dit:
Sauf qu'une attaque par dictionnaire est impossible grace à un anti-force-brute,
Cliquez pour agrandir...
justement, avec un antiforce brute, on peut générer un DOS, genre je recherche l'accès pour un compte donné, mais en utilisant une multitude de proxy (ou, encore mieux, si c'est juste pour un DOS, en envoyant de fausses données http). Du fait des multiples ip, tu ne pourras pas les bloquer toutes, tu bloqueras donc juste les tentatives d'accès à un compte donné. Ce qui fait que cette personne ne pourra plus se connecter. Si tu bloques les ip, ça veut dire que tu bloquerais, par exemple, une grande partie des connexions mobiles, tout ça parce qu'un seul utilisateur a fait trop de tentatives...
Sinon, pour la sécurisation, il te suffit d'isoler le code (genre créer une classe) pour pouvoir effectuer les modifications comme bon te semble.
Pour en revenir à la qualité du codage, quand je regarde comment sont codés certaines classes php :roll: surtout que, souvent, les fonctionnalités ne méritent pas une classe étant donné qu'elles peuvent être faites en procédural classique et d'une façon bien plus propre. Si tant est que la personne soit réellement un développeur et non juste habituée à cliquer pour "coder".

En fait, la base est d'installer différents CMS puis de regarder quelles fonctionnalités sont intéressantes puis d'en faire ton cahier des charges. La réutilisation de leurs sources n'est pas toujours (loin de là) quelque chose d'efficient, car souvent leur code est bien trop lourd de base.
 
spout
spout
WRInaute accro
Je suis plutôt partisan de l'utilisation d'un framework open source pour les raisons suivantes:
- Ne pas réinventer constamment la roue / DRY.
- Ne pas être le seul à maitriser son framework, sans documentation.
- Communauté (IRC, forums, tutos, plugins, ...).
- Dépôt de sources, features requests et bugtracking.
- Unit testing.
- Code souvent de très bonne qualité par rapport à ce que l'on pourrais coder tout seul dans son garage.
- Flexibilité énorme, plus que l'on imaginerais dès le début d'une application pour ensuite se retrouver bloqué et devoir faire marche arrière.

Si tu veux coder ton framework toi même, je te conseille de jeter un œil aux tutos vidéo (les 6 jours):
http://www.grafikart.fr/tutoriels/php/developper-site-jour1-base-donnees-183
 
L
Leonick
WRInaute accro
le gros problème d'un framework, c'est qu'il rajoute une couche supplémentaire de code, donc une augmentation de la probabilité de la survenance de problèmes.
Le MVC est une vue de l'esprit, car le pseudo code utilisé par beaucoup de frameworks dans le html ne fait rien d'autre qu'ajouter une couche d'interpréteur et on a donc un mélange avec la partie codage.
 
S
_Soul
WRInaute impliqué
zeb a dit:
Je dois être suicidaire alors ...
Mais bon quand il y a un souci je suis vite au courant (ça prend pas 24 Heures) et quand j'ai eu tous le contexte du souci je sais là ou ça se passe. C'est pas le cas pour toi ?
Parce que concrètement, bien sur qu'on est pas "monsieur code" ni "superman" mais on est pas aussi "monsieur *on" et que la relation qu'on a avec nos clients inclus une forme de confiance qui fait qu'on est derrière eux tous le temps en cas de coup dur car c'est d'eux que dépend notre avenir :wink:
Cliquez pour agrandir...
Tu fais un e commerce, ton client gagne 2k€/jour, une pirate trouve une faille, il prend le contrôle du serveur, t'es obliger de le formater via la console de ton hébergeur, t'en as pour 1 jour pour refaire toute la conf, ton client porte plainte contre toi, tu la dans le cul bien profond.

Imagine que tu ne te rende pas compte qu'il y ait une faille, genre il cloak un lien vers du viagra, t'es responsable derrière et va y pour le savoir. Pour info, il y a un très gros site d'université française ou il y a ce cas et ils ont toujours rien vu... Bien sur je ne ais pas lequel c'est, c'est un pote d'un pote qui a vu ça mais je sais pas ou ^^
 
Marie-Aude
Marie-Aude
WRInaute accro
Leonick a dit:
qu'apporte réellement une webagency qui fait uniquement de l'installalation de WP par rapport à OVH ou 1&1 qui le préinstalle d'origine ? au mieux une charte graphique !
Cliquez pour agrandir...

Dans la plupart des cas, le fait d'avoir une installation propre que le client va pouvoir maitriser. La plupart des installations "en un clic" sont faites sur des bases de données auxquelles on n'a pas accès dans l'admin, et éventuellement sur des espaces ftp "externes". Les versions sont loin d'être mises à jour régulièrement. Récemment, quelqu'un a du se bagarrer plusieurs jours avec 1&1 pour obtenir un dump de sa base

Evidemment si c'est juste une install standard, "brute de fonderie", le service a peu de valeur ajoutée. Cela dit quand tu vois la capacité des gens à faire des conneries, ça peut aussi être rassurant ... tout dépend du prix :D
 
L
Leonick
WRInaute accro
Marie-Aude a dit:
Cela dit quand tu vois la capacité des gens à faire des conneries, ça peut aussi être rassurant ... tout dépend du prix :D
Cliquez pour agrandir...
sauf que la plupart ne s'en rendent compte qu'une fois que c'est fait :roll:
 
zeb
zeb
WRInaute accro
_Soul a dit:
Tu fais un e commerce, ton client gagne 2k€/jour, une pirate trouve une faille, il prend le contrôle du serveur, t'es obliger ...
Cliquez pour agrandir...
Ce genre de cas on en trouve légion dans les systèmes open source, ça s'explique d'ailleurs par la relative facilité d'utiliser les codes sources a tête reposé pour peaufiner son attaque. Sur du closed source c'est pas la même histoire justement.
Dans tous les cas mettre en avant une issue extrême ne permet pas de démontrer la fiabilité d'un système par rapport a un autre vue que le propre des cas extrêmes est d'impacter tous les systèmes.
Ensuite, dans tous les cas le scénario catastrophe que tu raconte est le même que tu soit en open ou closed source.
Si on enlève toutes les failles de l'open source qui générèrent des "vagues" de défaçage de site, ou de redirection maligne, ou ... vous en avez connu combien des vraies failles qui ont corrompus votre activité ? Tous les cas que j'ai vu ici sur WRI étaient du a des systèmes open source pas a jour. Et il y en a même qui parlent encore de "faille include" alors que la plupart des serveurs ne permettent plus son exploitation :D
 
S
sonn
WRInaute discret
Merci a tous de vos réponses.
Les cours ayant repris il est plus difficile pour moi de répondre rapidement ;)

Je pense qu'il faut déjà recentrer mes propos, mon projet est de réunir mes connaissances acquise depuis plus de 8 mois d'apprentissage du php et des scripts forts intéressant trouver ici et la sur internet (comme le script de cache d'un modo sur ce forum, que je remercie enormement ) et éviterez les horribles code que l'on trouve partout, plein de faille. C'est un projet qui me permettrais de.réutilisée mes codes plus facilement d'un site a un autre. Internet ayant dans sa mentalité le partage, je trouve normal de rendre un peu en ouvrant mon code. Bien que facilite le travail des blackhat, cela.m'incite a faire toujours mieux (et puis fermer un code c'est aussi fermer les yeux sur des possibles failles...) cependant en postant sur ce forum, je ne m'adresse peut-etre pas au bon public. Beaucoup d'entre vous possède des sites importants ou e-commerce, mais mon projet n'est pas de cette mesure, d'autres développeurs plus Age et plus expérimentée le font déjà. C'est aussi le cote coding qui m'intéresse, donc les cms ne m'intéresse que par leurs codes que je pourrais reuttiliser. Mais c'est plutôt orienté petit site perso ;) mais je m'intéresse également beaucoup a la sécurité informatiques, actuellement je met de côté le système.mot de passe pour mettre en place un système.dekeyfile, des pots.de miels et bien sur le ssl. Je pense avoir tous dis sur mon choix :)
Désolé pour la qualité d'écrit, je suis sur smartphone...
 
F
franckM
WRInaute impliqué
C'est bien ce qu'il m'avait semblé comprendre, tu es beaucoup branché sécurité il me semble... ce qui peut être un sujet effectivement très intéressant à développer...
Bon courage pour la suite :wink:
 
L
Leonick
WRInaute accro
sonn a dit:
des pots.de miels
Cliquez pour agrandir...
justement, le honeypot ne va pas vraiment avec l'ouverture de code, car ça revient à installer une porte blindée chez soi mais de laisser un postit sur la porte avec "si je ne suis pas là, les clés sont dans le pot de géranium" :mrgreen:
 
S
sonn
WRInaute discret
euh Leonick.... Tu raconte des conneries là ^^" (du moins en partie :) )
http://fr.wikipedia.org/wiki/Honeypot
C'est à dire que par exemple, actuellement, en local, j'ai une url du type http://myframework.hack/index.php?repertory=forum&file=accueil.php
C'est un pot de miel, car c'est trop tentant pour un blackhat de jouer avec, mais j'ai mis en place un systeme qui vérifie les variable GET pour blacklister les ip qui demande des "/" ou ".." ou '\' et leurs correspondance en héxadécimale (urlencode pas encore mis mais de toute façon il y a encore une whitelist à franchir avant l'include) et m'envoyer un mail de tentative d’intrusion. Il y en as d'autres caché comme un anti-flood ou un cookie rang=member qui vérifie qu'il n'as pas était modifier pour tenter une élévation des privilèges ;)

Mais effectivement, ils ne servent pas à grand chose dans un code ouvert source, mais mon code risque pas d'etre connu du monde entier, donc ça peut marcher :D (et c'est surtout pour le fun de monter aux blackhat qu'on est là et que c'est un minimun sécurisé ;) )

Tu confrond avec une backdoor surement :)

HS : J'ai réussi à foutre en l'air la configuration d'apache en voulant passer le site en https :roll: en plus en suivant le tuto et un sudo apt-get remove --purge apache2 n'efface pas /etc/apache2 :lol: vive le beug :cry:
 
L
Leonick
WRInaute accro
sonn a dit:
Tu confonds avec une backdoor surement :)
Cliquez pour agrandir...
ben non justement, c'était bien de honeypot que je parlais. Si tu ouvres ton code, les BH exclueront les url correspondantes de leurs crawl afin de ne pas être blacklistés et pourront ainsi aspirer tranquillement l'intégralité de ton site, étant donné que son rôle n'est pas de sécuriser le site mais d'éviter le crawl automatisé du site (sauf robots autorisés)
 
S
sonn
WRInaute discret
^^ sauf qu'il existe qu'une seule page accessible a mon site, les autres etant appeller a l'aide des paramètres, et comme cette page est protéger contre les demandes excessives, le crawl finiras avec des pages blanches. Mais ca c'est qu'une protection contre les robots. Les honeypot sont vraiment réserver contre les BH qui voudrais trafiquer ;)et le fait qu'ils connaissent le code ne leur permettent pas pour autant de le modifier sur mon site ;)
 
Vous devez vous connecter ou vous inscrire pour répondre ici.
1.fr
Discussions similaires
nile
CMS, framework ou fait maison : quel impact SEO ?
Réponses
7
Affichages
4K
nile
nile
P
Quelle solution/plateforme/CMS pour la refonte d'un site e-commerce de 6000 références ?
Réponses
1
Affichages
647
Marie-Aude
Marie-Aude
G
Modifier robots.txt du CMS Ghost via O2switch
Réponses
0
Affichages
641
GregM
G
S
Perte SEO après changement de CMS et nom de domaine
Réponses
6
Affichages
1K
Marie-Aude
Marie-Aude
B
Comment installer un CMS sur Wamp
Réponses
5
Affichages
2K
emualliug
E
M
Déplacement de catégories CMS Prestashop : impact SEO ?
Réponses
0
Affichages
2K
matdu58
M
DomTo
Quel est le CMS de ce site d'annonces ?
Réponses
3
Affichages
2K
spout
spout
N
Besoin d'éclaircissement suppression produits et page cms prestashop
Réponses
5
Affichages
2K
Nettoyerlamaison
N
C
WordPress Cocon sémantique et CMS : liens menu et footer
Réponses
16
Affichages
2K
phonyclic
phonyclic
S
Quelle choix faire CMS ou Symfony
Réponses
2
Affichages
2K
ABCWEB
ABCWEB
S
Appliquer style CSS CMS GHOST
Réponses
1
Affichages
3K
matt121212
M
Z
Changement de CMS après Wix
Réponses
8
Affichages
2K
makeonlineshop
M
WebRankInfo
Les meilleurs CMS pour le référencement (étude d'1 million de sites)
Réponses
9
Affichages
8K
makeonlineshop
M
U
CMS type Forum HTML5 CSS3 SEO
Réponses
5
Affichages
2K
Madrileño
Madrileño
B
Loi TVA anti fraude et CMS ecommerce
Réponses
21
Affichages
7K
clem987
C
B
Refonte, Changement de CMS & Redirections 301
Réponses
2
Affichages
2K
WebRankInfo
WebRankInfo
S
Themes (populaires) des CMS (Wordpress, Prestashop. ) et duplicate content
Réponses
4
Affichages
2K
UsagiYojimbo
UsagiYojimbo
L
Refonte site - Nouveau CMS , nouvel hébergement& même nom de domaine
Réponses
4
Affichages
3K
LME
L
C
Quel CMS ?
2
Réponses
134
Affichages
13K
Rouskof
R
V
Site codé VS site CMS
Réponses
4
Affichages
2K
Koxin-L.fr
Koxin-L.fr
Haut