URL Rewriting vs Sécurité

HawkEye · 29 Juin 2005

Bonjour,

Nous allons réaliser une grosse migration au niveau de notre site Internet. Le site actuel (assez bien optimisé, et donnant de bon résultats pour du 100% home made), va être entièrement recomposé pour s'articuler autour d'un e-catalogue complet - enfin une solution professionnelle.

Notre prestataire pour ce projet est la société qui a développé notre suite de gestion commerciale (assez complexe), je ne me fais aucun souci pour ce qui est de leurs compétences en matière de réalisation "brute" d'un catalogue en ligne dynamique et d'une plateforme e-business.

Néanmoins, je ne veux pas perdre de vue l'aspect référencement/positionnement de l'affaire, et même si le contenu des pages sera suffisemment bien catégorisé pour que les pages soient "search engine relevant", et même si les keywords seront quasiment gérés depuis notre applicatif de gestion commerciale (ça c'est sympa...), je tape sur le clou pour qu'ils me fassent de l'url rewriting.

Leurs serveurs hébergent d'autres sites que le nôtre, et lorsque je parle d'url rewrinting, la question de la sécurité se pose et les fait bondir.

J'aimerais donc savoir ce que vous pouvez confirmer, ou infirmer par rapport à la configuration requise pour de l'url rewriting.

D'avance merci pour vos éclaircissements !

Phobos · 29 Juin 2005

Je ne vois pas du tout quels problèmes peut poser l'UR :|

jeanluc · 29 Juin 2005

HawkEye_TpfH a dit:
lorsque je parle d'url rewrinting, la question de la sécurité se pose et les fait bondir.

+1 pour Phobos.

En quoi l'URL rewriting (= transposer une URL en une autre) peut mettre en danger la sécurité ?

Jean-Luc

Phix · 29 Juin 2005

Je pense au contraire que l'UR améliore la sécurité puisqu'il permet de masquer le nom des variables passées dans l'url et aussi de modifier le nom du fichier php utilisé.

HawkEye · 29 Juin 2005

Selon vous, aucun risque que l'activation de mod_rewrite dans la configuration d'Apache puisse ouvrir une faille exploitable soit sur notre site, soit sur le site d'un autre client de cette société ?

Ce "mod_rewrite = ON" n'est pas exploitable si il n'y a pas de rewriterule dans l'htaccess ? De même l'htaccess ne définit-il bien une règle que pour le dir ou il est placé (et éventuellement ses subdirs ?)

Merci pour votre participation

Phobos · 29 Juin 2005

le .htaccess place une règle pour le dossier et les sous dossiers, il n'est pas exploitable si il n'y a pas de règle qui l'exploite

jeanluc · 29 Juin 2005

HawkEye_TpfH a dit:
Selon vous, aucun risque que l'activation de mod_rewrite dans la configuration d'Apache puisse ouvrir une faille exploitable soit sur notre site, soit sur le site d'un autre client de cette société ?

Il y a quelques mois, on a trouvé une faille de sécurité dans AWStats, qui en principe se contente de lire le fichier log... En sécurité, on ne peut jurer de rien et, si on attend assez longtemps, c'est toujours le plus alarmiste qui a raison... :?

Cela dit, si mod_rewrite était si dangereux, serait-il aussi utilisé sans que des dégats n'apparaissent de tous côtés ?

Jean-Luc

HawkEye · 30 Juin 2005

ok, je prends note - ça appuiera mon argumentation

Merci pour vos comments...

PS: Si d'autres infos, hésitez pas

tawath · 30 Juin 2005

IL ya toute une panoplie de régles à mettre en place avant le RewriteEngine on pour fermer les fenêtre eventuelles

Une chose est sure ca bouffe de la ressource au cpu et ca ca peut causer un probléme de sécurité majeure.
Sans être un expert il est plus facile d'ouvrir une brèche dans un site ou le serveur est saturé.

Les pros du serveur dédié pourront confirmer ou infirmer ce que j'avance :wink:

HawkEye · 7 Juillet 2005

... s'il y'en a parmis nous, je suis preneur de leur commentaire

dcz · 7 Juillet 2005

hoho

En gors il parlent de securité pour ne pas dire que leur serveurs mutualisés sont obsolètes et risquent de mourir à chaque requete sql lol ! En effet c'est pas secure, mais y a t il besoin d'un haker?

En tous cas, un hebergeur qui râle sur l'url rewriting est un hebergeur avec des mauvaises machines (c'est un vrai test) et un reseau mal distribué, parce que entre nous, il me semble que la tendance c'est d'en demander de plus en plus au serveurs (y'a pas que le rewrite dans la vie, rien que le php ça pompe), alors ceux qui suivent pas ont qu'a créer un label html host pour se specialiser dans du bon vieux statique qui prend pas la tête aux serveurs...
Ca eviterais de monter un site en definitive inutilisable. Je comprend par exemple qu'une requete sql puisse prendre 15 secondes chez free, mais si je paye, là je ne suis plus du tout d'accord.

++

dcz