WebSite X5Help Center

 
Patrick L.
Patrick L.
User

Faille de securite ou mauvaise comprehension ?  fr

Auteur : Patrick L.
Visité 1317, Followers 1, Partagé 0  

Je viens de m’apercevoir (avec horreur) qu’une page située dans la section privative d’un site, une section protégée à laquelle on accède via un login, est visible par les moteurs de recherche et plus grave, si on copie le lien de la page sur un navigateur on accède à la page sans demande de login, bien que la page soit protégée (le cadenas apparaît à gauche de la page). Est-ce une faille de sécurité ou ai-je mal compris le fonctionnement de cette fonctionnalité ? Merci de votre aide ! cordialement.

Posté le
11 RéPONSES - 1 UTILES - 1 CORRECT
Axel  
Axel  
User

Hello,

Bingo !

A mon avis faille énorme foot-in-mouth et en tout cas cela ne devrait pas se produire de la sorte ! même par une manipulation incorrecte dans WSX5.

Il faudrait avoir une option pour supprimer la page des crawlers.
et peut être réviser la sécurité, car même en copiant le lien on ne devrait pas y avoir accès.

Suis curieux de voir la réponse !

Enjoy!
Axel

Lire plus
Posté le de Axel  
JiPeR 48
JiPeR 48
Moderator

Salut à vous !

@Patrick, même souci après nettoyage du cache du navigateur, et/ou déconnexion de la page réservée, et nouvelle vérification  ? On peut avoir une copie écran de ta recherche qui montre cette page ? (tu peux cacher des éléments si besoin...).

En attendant je signale au Support Incomedia pour avoir un avis. Attendons le passage d'un technicien sous 24 à 48 heures.

@Suivre,

J.P.

Lire plus
Posté le de JiPeR 48
Patrick L.
Patrick L.
User
Auteur

Bonjour JP, ça faisait un moment !

Oui, j'ai purgé le cash sur plusieurs navigateurs : edge, chome, firefox, vivaldi, tor ... Même résulat à chaque fois. Cette page est une page protégée : https://aeroclub-amberieu.fr/fcl-055.html et pourtant copie d'écran de WX5 où on voit que la page est protégée. Cela dit ça fait un bout de temps que ça marche comme cela mais je n'avais pas fait l'essai pour vérifier la confidentialité avec un accès par une URL littérale. Cela ne correspond pas tout à fait à l'idée du cahier des charges que je me faisais pour cette partie masquée au grand public. Merci de me tenir informé ... Cordialement, Patrick

Lire plus
Posté le de Patrick L.
Patrick L.
Patrick L.
User
Auteur

Désolé, j'ai envoyé un fichier Photoshop, le voici en JPG ...

Lire plus
Posté le de Patrick L.
Axel  
Axel  
User

Hello,

Peux tu nous indiquer le lien qui amène à cette page. Si je comprends bien par le lien nous allons tomber sur un login/password pour y avoir un accès.

Juste pour confirmer ce que tu indiques.

En tout moi la page indiquée ci dessus j'y accède directement par le lien.

Enjoy!

Axel

Lire plus
Posté le de Axel  
JiPeR 48
JiPeR 48
Moderator

Re...

Du vite fait, il faut que je sorte... ;o)

Sur le code source du site, les pages privées sont en http simple et pas en https. Cela aurait-il une incidence sur le fonctionnement ? Il y a une redirection sur les pages protégées ? 

Par ailleurs sur le formulaire "Enregistrez-vous" ne fonctionne pas. Pas d'accès sur un formulaire d'enregistrement... (???)

Je vous laisse... A plus tard dans la soirée,

J.P.

Lire plus
Posté le de JiPeR 48
Axel  
Axel  
User

Moi elle sont en https et certificat valide.

Je crois qu'il n'ets pas possible d'avoir une partie en http et une partie en https... Sauf si les pages ne sont pas générées avec le même outil.

Peut être y a t'il une erreur dans la configuration ! Etrange.

Mes pages privées n'ont pas ce problème pourtant !!!

Lire plus
Posté le de Axel  
Patrick L.
Patrick L.
User
Auteur

Re, le lien qui mène à cette page est à mentionné dans mon post de 12:30. Effectivement comme elle fait partie des pages protégées, elle ne devrait pas s'afficher sans la page de login.

Pour Jiper : l'accès à l'enregistrement ne pouvais pas se faire parce que j'avais également protégé cette page. Je l'ai déverrouillée et j'ai fait la mise à jour maintenant ça marche. Ce qui n 'aide pas à comprendre le problème ...

Lire plus
Posté le de Patrick L.
Incomedia
Stefano G.
Incomedia

Hello Roulley

I'm not sure how this page was uploaded but I can see that this is a .html page and not PHP.

Being an HTML page, there can be no protection options on this page. It needs to be a PHP page or of course, it will be visible online. As of now, the protection system is not active on the page because it is not a PHP page.

But I can see that on your server a php version of the page exists. This means that you previously created the page without protection and uploaded it online. Then, you activated the protection and a copy of the page was created. Now you have two online

Delete all the content of the website online and upload the entire thing again. The pages should be correct then

Keep me posted here

Thank you

Stefano

GOOGLE TRANSLATE ---

Bonjour Roulley

Je ne sais pas comment cette page a été téléchargée, mais je peux voir qu'il s'agit d'une page .html et non PHP.

Étant une page HTML, il ne peut y avoir aucune option de protection sur cette page. Il doit s'agir d'une page PHP ou bien sûr, elle sera visible en ligne. Pour l'instant, le système de protection n'est pas actif sur la page car il ne s'agit pas d'une page PHP.

Mais je peux voir que sur votre serveur une version php de la page existe. Cela signifie que vous avez précédemment créé la page sans protection et l'avez téléchargée en ligne. Ensuite, vous avez activé la protection et une copie de la page a été créée. Maintenant, vous avez deux en ligne

Supprimez tout le contenu du site Web en ligne et téléchargez à nouveau le tout. Les pages doivent être correctes alors

Tiens moi au courant ici

Merci

Stefano

Lire plus
Posté le de Stefano G.
Patrick L.
Patrick L.
User
Auteur

Hi Stefano,

Got you 5 x 5 !  Your explanation is crystal clear. I find it regrettable I didn't work that out by myself. I will erase the root of my site and upload a brand new version of the files. I keep you in the loop and I will close this post  if everything is okay. Kind regards from France !

Lire plus
Posté le de Patrick L.
JiPeR 48
JiPeR 48
Moderator

Helloooooooooooo !

Pour rester dans l'ambiance aérienne... ça planait bien pour nous, sans réaction au PHP pourtant indispensable...embarassed

Épinglé sur Dessins de L. Chassard - www.pattedoursstudio.com

@+, J.P.

Lire plus
Posté le de JiPeR 48