[Sécurité] Risque mot de passe avec CMS hébergés sur Free.fr ?

julesforum · 17/09/2006, 12h42

Salut tout le monde,

J’ai une question ‘sécurité’ concernant le mot de passe des comptes utilisateurs chez free.fr, qui est aussi malheureusement le même pour le système SQL.

Je viens d’installer 2 CMS en PhP/MySQL sur mon site perso free : SiteBar et The Address Book

Et je constate que pour que ces sympathiques applications fonctionne il faut éditer un fichier du style ‘config.php’ dans lequel on précise justement son login et son mot de passe SQL (en plus du serveur http://sql.free.fr).

Je comprend bien que de telles info soient nécessaires pour que ces applis fonctionnent, mais ça me gène de laisser comme ça dans un fichier PhP, sans aucun cryptage, mon précieux mot de passe. Du style :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
'host'      =>  'http://sql.free.fr',
'username'  =>  'monIDchezfree',
'password'  =>  'monPasswordchezfree',
'name'      =>  'Jules_bkmrk',

Et ce d’autant plus que c’est le même que mon id/password chez free.fr (mails, compte, accès ftp à ma page perso ... pas le choix apparemment).

Ma question est donc :

Y a-t-il un risque quelconque de me faire piquer ce mot de passe quand il traîne ainsi dans des fichiers php de mon site web ? (et donc de me faire saccager mon site, et pire, mon compte chez free).

Je précise bien sur que, sans être une quille en informatique, je n’ai que quelques notions de HTML et que je n’y connais rien en PhP/MySQL (qu'est ce que je fout sur votre forum me direz vous ?).

Pour l’instant j’ai protéger l’accès aux dossiers de mes CMS par un fichier .htaccess et . htpasswd mais ce n’est pas pratique et ça ne me permet pas de partager facilement mes Bookmarks.

Si vous avez des info la dessus, merci d’avance...

Jules

julesforum · 17/09/2006, 17h35

Visiblement ma question est un peu naïve.

J'ai trouvé une répone partielle à mes inquiétudes, par ex. :
http://www.tonwebmaster.com/forumIPB...howtopic=29555

guitou12 · 17/09/2006, 19h21

Dans tous les cas sans le code d'accès au FTP une page avec tes mots de passe simplement dans une variable ne pourra pas être vue par le monde extérieur.

Après si il ya une faille dans un CMS qui permet de récupérer les mdp de ton accompte c'est une autre histoire.

Moralité : toujours tenir à jour les CMS et autre applis php dès que les nouvelles versions corrigent les bugs

17/09/2006, 17h35	#2
julesforum Invité de passage Inscription : septembre 2006 Messages : 2 Détails du profil Informations forums : Inscription : septembre 2006 Messages : 2 Points : 0 Points : 0	(réponse partielle) - ? Risque mot de passe ... Visiblement ma question est un peu naïve. J'ai trouvé une répone partielle à mes inquiétudes, par ex. : http://www.tonwebmaster.com/forumIPB...howtopic=29555
	00

17/09/2006, 19h21	#3
guitou12 Membre émérite Guillaume Inscription : juillet 2006 Messages : 813 Détails du profil Informations personnelles : Nom : Guillaume Âge : 29 Informations forums : Inscription : juillet 2006 Messages : 813 Points : 905 Points : 905	Dans tous les cas sans le code d'accès au FTP une page avec tes mots de passe simplement dans une variable ne pourra pas être vue par le monde extérieur. Après si il ya une faille dans un CMS qui permet de récupérer les mdp de ton accompte c'est une autre histoire. Moralité : toujours tenir à jour les CMS et autre applis php dès que les nouvelles versions corrigent les bugs __________________ Le . est la base de toute bonne concaténation, marre de voir des echo "Mavar1 = $toto et Mavar2 = $titi"; ou pire echo 'Mavar1 = ',$toto,' et Mavar2 = ',$titi; pratiquez plutôt le echo 'Mavar1 = '.$toto.' et Mavar2 = '.$titi;
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email