Faille de securite ou mauvaise comprehension ?
Auteur : Patrick L.
Visité 1349,
Followers 1,
Partagé 0
Je viens de m’apercevoir (avec horreur) qu’une page située dans la section privative d’un site, une section protégée à laquelle on accède via un login, est visible par les moteurs de recherche et plus grave, si on copie le lien de la page sur un navigateur on accède à la page sans demande de login, bien que la page soit protégée (le cadenas apparaît à gauche de la page). Est-ce une faille de sécurité ou ai-je mal compris le fonctionnement de cette fonctionnalité ? Merci de votre aide ! cordialement.
Posté le
Hello,
Bingo !
A mon avis faille énorme et en tout cas cela ne devrait pas se produire de la sorte ! même par une manipulation incorrecte dans WSX5.
Il faudrait avoir une option pour supprimer la page des crawlers.
et peut être réviser la sécurité, car même en copiant le lien on ne devrait pas y avoir accès.
Suis curieux de voir la réponse !
Enjoy!
Axel
Salut à vous !
@Patrick, même souci après nettoyage du cache du navigateur, et/ou déconnexion de la page réservée, et nouvelle vérification ? On peut avoir une copie écran de ta recherche qui montre cette page ? (tu peux cacher des éléments si besoin...).
En attendant je signale au Support Incomedia pour avoir un avis. Attendons le passage d'un technicien sous 24 à 48 heures.
@Suivre,
J.P.
Auteur
Bonjour JP, ça faisait un moment !
Oui, j'ai purgé le cash sur plusieurs navigateurs : edge, chome, firefox, vivaldi, tor ... Même résulat à chaque fois. Cette page est une page protégée : https://aeroclub-amberieu.fr/fcl-055.html et pourtant copie d'écran de WX5 où on voit que la page est protégée. Cela dit ça fait un bout de temps que ça marche comme cela mais je n'avais pas fait l'essai pour vérifier la confidentialité avec un accès par une URL littérale. Cela ne correspond pas tout à fait à l'idée du cahier des charges que je me faisais pour cette partie masquée au grand public. Merci de me tenir informé ... Cordialement, Patrick
Auteur
Désolé, j'ai envoyé un fichier Photoshop, le voici en JPG ...
Hello,
Peux tu nous indiquer le lien qui amène à cette page. Si je comprends bien par le lien nous allons tomber sur un login/password pour y avoir un accès.
Juste pour confirmer ce que tu indiques.
En tout moi la page indiquée ci dessus j'y accède directement par le lien.
Enjoy!
Axel
Re...
Du vite fait, il faut que je sorte... ;o)
Sur le code source du site, les pages privées sont en http simple et pas en https. Cela aurait-il une incidence sur le fonctionnement ? Il y a une redirection sur les pages protégées ?
Par ailleurs sur le formulaire "Enregistrez-vous" ne fonctionne pas. Pas d'accès sur un formulaire d'enregistrement... (???)
Je vous laisse... A plus tard dans la soirée,
J.P.
Moi elle sont en https et certificat valide.
Je crois qu'il n'ets pas possible d'avoir une partie en http et une partie en https... Sauf si les pages ne sont pas générées avec le même outil.
Peut être y a t'il une erreur dans la configuration ! Etrange.
Mes pages privées n'ont pas ce problème pourtant !!!
Auteur
Re, le lien qui mène à cette page est à mentionné dans mon post de 12:30. Effectivement comme elle fait partie des pages protégées, elle ne devrait pas s'afficher sans la page de login.
Pour Jiper : l'accès à l'enregistrement ne pouvais pas se faire parce que j'avais également protégé cette page. Je l'ai déverrouillée et j'ai fait la mise à jour maintenant ça marche. Ce qui n 'aide pas à comprendre le problème ...
Hello Roulley
I'm not sure how this page was uploaded but I can see that this is a .html page and not PHP.
Being an HTML page, there can be no protection options on this page. It needs to be a PHP page or of course, it will be visible online. As of now, the protection system is not active on the page because it is not a PHP page.
But I can see that on your server a php version of the page exists. This means that you previously created the page without protection and uploaded it online. Then, you activated the protection and a copy of the page was created. Now you have two online
Delete all the content of the website online and upload the entire thing again. The pages should be correct then
Keep me posted here
Thank you
Stefano
GOOGLE TRANSLATE ---
Bonjour Roulley
Je ne sais pas comment cette page a été téléchargée, mais je peux voir qu'il s'agit d'une page .html et non PHP.
Étant une page HTML, il ne peut y avoir aucune option de protection sur cette page. Il doit s'agir d'une page PHP ou bien sûr, elle sera visible en ligne. Pour l'instant, le système de protection n'est pas actif sur la page car il ne s'agit pas d'une page PHP.
Mais je peux voir que sur votre serveur une version php de la page existe. Cela signifie que vous avez précédemment créé la page sans protection et l'avez téléchargée en ligne. Ensuite, vous avez activé la protection et une copie de la page a été créée. Maintenant, vous avez deux en ligne
Supprimez tout le contenu du site Web en ligne et téléchargez à nouveau le tout. Les pages doivent être correctes alors
Tiens moi au courant ici
Merci
Stefano
Auteur
Hi Stefano,
Got you 5 x 5 ! Your explanation is crystal clear. I find it regrettable I didn't work that out by myself. I will erase the root of my site and upload a brand new version of the files. I keep you in the loop and I will close this post if everything is okay. Kind regards from France !
Helloooooooooooo !
Pour rester dans l'ambiance aérienne... ça planait bien pour nous, sans réaction au PHP pourtant indispensable...
@+, J.P.