Reflectiv's blog

Come here to get some fresh air!
About Me

This is the Reflectiv.net blog.
We share our news, thoughts and everything we think could interest you :)

My Other Sites
Twitter
Contributors
Tags
Archive
2012 (2)
2011 (6)
2010 (20)
2009 (30)
2008 (46)
2007 (9)
Filed under

Security

See all posts on posterous with this tag »
 

Protéger l'accès à vos dossier .svn

TechCrunch à récemment repris un article Russe indiquant que de nombreux sites (plus de 3300) laissaient en libre accès leur dossier .svn.

L'article a ensuite été repris par Chris Sullo via le HP Security Laboratory Blog, afin de vous proposer quelques techniques afin de vérifier que votre site affiche ou pas le contenu de ces fameux dossiers et comment faire dans ce cas.

Il est important de savoir que l'accès aux dossier .svn est un risque non négligeable puisque ces dossiers peuvent contenir le code source de vos fichier, et donc parfois les mots de passes d'accès aux divers services (base de donnée, réseaux sociaux via API, etc).

Vous qui utilisez Subversion, êtes-vous sûr que vos .svn ne sont pas accessibles ? vraiment ?

Afin de sécuriser votre serveur, voici deux petits morceaux d'Apache évitant vos visiteurs d'accéder à ces dossiers.

Le premier se place dans le fichier de configuration de votre VirtualHost, et interdit simplement l'accès aux répertoires .svn :

<Directory ~ “^\.svn”>
     Deny from all
</Directory>

(facile ;))

Le second viens se mettre dans un fichier .htaccess, dans le cas ou vous n'auriez pas accès à la configuration d'Apache (cas typique d'un hébergement standard) :

RewriteEngine on
# Hide .SVN Folders
RewriteRule ^(.*/)*\.svn/ / [F,L]

Merci @Fettes Programming Solutions pour les bouts de code très utiles ;)

Une autre alternative, si vous n'utilisez plus SVN en production, et que vous n'avez fait que copier les fichier, c'est de supprimer récursivement les dossiers .svn de votre site/application. Pour ce faire, nous avions listé les commandes (linux) possible lors d'un précédent article.

Filed under  //  General   Security   access   folder   htaccess   protect   svn  
Posted by Cyril Nicodème 
 

Se protéger du Hot Linking

Le problème de publier des images intéressantes, c'est que vous risquez d'avoir d'autres personnes qui les affichent sur leur site, mais en laissant l'image sur votre serveur.

Le problème est qu'ayant l'image hébergée sur votre machine, c'est votre débit qui sera utilisé. Si l'autre site possède un important trafic, il peux tuer votre disponibilité ou en tout cas la ralentir.

Afin d'éviter que les images ne soient affichées depuis un autre site, voici un petit bout de code à mettre dans un fichier .htacess :

RewriteEngine On
#Replace ?yoursite.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+.)?yoursite.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/stealing-is-bad.jpg with your "don't hotlink" image url
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/stealing-is-bad.jpg [L]

Remplacez bien les valeurs indiquées par celle correspondant à votre configuration, et vous serez tranquilles :)

Source: http://www.pcland.info/archives/156/more-htaccess-tricks-for-you-wordpress-blog.html

Filed under  //  Apache   Security   hot-linking   htaccess   image   steal  
Posted by Cyril Nicodème 
 

FSecure - E:volution

Un article super intéressant sur l'évolution des risques informatiques. Un article très interessant et bien réalisé !

Filed under  //  Security   attaque   botnet   ddos   dos   evolution   fsecure   reseau   sasser   spam   storm   virus   zombie  
Posted by Cyril Nicodème 
 

Vous vous êtes fait volé votre pc portable ? Ce n'est pas grave :p

Un petit logiciel du nom d'Adeona propose un système efficace pour retrouver votre pc portable volé ou perdu.

La version Mac semble plus intéressante puisqu'elle prends aussi la personne utilisant le pc en photo.
Maintenant, la puissance réside dans le fait que le logiciel client surveille la position du pc (probablement par géolocalisation) et récupère des informations telles que l'adresse ip et la topologie du réseau local afin de retrouver son bien.

Cela peut-être utile (sauveur ? :p)

http://adeona.cs.washington.edu/index.html

Filed under  //  Security   adeona   informations   portable   protection   vol  
Posted by Cyril Nicodème 
 

Perspectives, couche de sécurité supplémentaire pour Firefox

Bonjour à tous ! :)

Je vous invite à découvrir cette petite extension qui pourra vous protéger lors de vos surfs.

La news provient de Zataz

Un nouveau plug-in, pour Firefox 3, baptisé Perspectives, propose de rajouter une couche de sécurité à votre navigateur et lors de vos surfs sur Internet.

Le logiciel a été mis en place par des chercheurs de l'école des sciences de l'informatique de l'Université Carnegie Mellon (USA).

David Andersen, professeur assistant en informatique, Adrian Perrig, professeur en ingénierie électrique et Dan Wendlandt, qui prépare son doctorat en informatique, proposent de ne plus avoir ses connexions sniffées par qui que se soit, Fournisseur d'Accès compris. Un outil efficace et pratique pour qui souhaite vérifier l'intégrité de sa connexion avant de visiter, par exemple, un site bancaire.

Ce plug-in est proposé pour MAC, Linux et Windows.

et le site est trouvable à cette adresse : title="http://www.cs.cmu.edu/~perspectives">http://www.cs.cmu.edu/~perspectives/firefox.html

Filed under  //  Security   attaque   firefox   intégrité   perspective   plugin   protection  
Posted by Cyril Nicodème 
 

How to easily decrypt MD5 hash !

Hello everybody,

Today, with Zataz website, I found a very interesting website : http://www.authsecu.com/

In this french website, you can choose to create a hash from a message, or decrypt a hash to a message very easy, very fast, very surprising !!

Filed under  //  Security   decrypt   hash   md5  
Posted by Cyril Nicodème