• [^] # Re: non

    Posté par (courriel, site web personnel) . En réponse au message pages perso attente pour force brute. Évalué à 2.

    J'utilise uniquement Jabber et les transports. Pour autant que je sache, il n'existe pas encore de moyen de transférer des fichiers avec les clients MSN/ICQ/... en utilisant les transports donc voilà. L'avantage c'est que je peux utiliser une seule connexion SSL pour me connecter à toutes mes adresses d'IM. Vu que je passe la moitié de mon temps sur un réseau non switché où tout le monde peut sniffer ce qu'il veut, je trouve ça assez pratique (bon ça serait switché ça serait presque pareil).

    Sinon pour le transfert de fichiers sans FTP/MSN/... -> http://linuxfr.org/tips/296.html(...)

    Pour en revenir à cette histoire de mdp, si tu as gardé le même fonctionnement, pas besoin d'utiliser de mdp. Le seul "secret" à connaitre est l'url. Pour protéger les répertoires, le htaccess est probablement la meilleure solution. Je pense que ça le fait même récursivement.

    Le délais de 3 secondes empéche rien: qqun peut brute-forcer tranquillement avec X connexions en paralléle, il aura juste les résultat de chacune 3 secondes plus tard mais rien ne l'empèche de refaire une requète avant que le délais se soit écoulé. Et en fait il a même pas besoin de faire ça, il a juste à "brute-forcer" l'url.

    Un truc plus "sécurisé" serait de faire une page PHP qui prend 2 paramètres: le mdp et le fichier à accéder. Si le mdp est correct mais que le fichier à accéder n'existe pas, tu "fournis" un listing des fichiers. Si le mdp est correct et le fichier existe, tu renvois directement le fichier. De cette manière tu peux interdire complétement l'accés aux fichiers directement via Apache: on ne peut y accéder que par l'interface web. Mais il faut faire très attention aux fichiers accessibles (gaffe aux trucs genre .. et liens symboliques). Idéalement tu devrais avoir le listing des fichiers accessibles défini explicitement dans un fichier de configuration par exemple.

    Ce genre de script existe déjà, suffit de chercher un peu. Enfin pour le mdp je suis pas sur mais ça tu peux le rajouter au niveau d'Apache et comme ça tu n'as qu'une seule page à protéger.

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.