IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

IIS Discussion :

probleme de sécurité sous IIS: une vraie passoire! J'ai besoin d'aide


Sujet :

IIS

  1. #1
    Membre du Club
    Profil pro
    Inscrit en
    Août 2003
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2003
    Messages : 105
    Points : 61
    Points
    61
    Par défaut probleme de sécurité sous IIS: une vraie passoire! J'ai besoin d'aide
    Bonjour à tous.
    Je dois installer un site PHP/Mysql sur un serveur IIS.
    J'ai accès au répertoire racine de mon site et j'ai les droits necessaires sur le serveur SQL.
    Le site de test est actuellement fonctionnel, mais n'est pas encore dispo pour les raisons suivantes

    Je constate deux problemes importants qui demandent votre aide:
    - le site a un nom de domaine (www.monsite.fr). Ju'qu'ici tout va bien. Le problème est que, si j'accède à ce site via l'adresse IP du serveur, ça devient la folie !
    Si je rentre l'url:
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    http://xx.xx.xx.xx/repertoireRacineDuSite/
    sous firefox on me prpose de télécharger un fichier de type application/octet stream
    sous IE ça affiche la page html avec le source Php non interpreté
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    http://xx.xx.xx.xx/repertoireRacineDuSite/index.php
    sous firefox on me propose de télécharger le fichier index.php (source php entièrement visible! c'est le même que sur le serveur)

    Donc il ya un gros souci niveau sécurité, c'est comme si php n'était pas installé sur la machine: aucune interprétation, code visible en clair.
    Après c'est pas bien difficile de faire un ping sur le nom de domaine pour récupérer l'Ip et chopper le source soit même...
    Que faut-il faire svp? (sachant que le proprio du serveur, un particulier, à l'air d'y comprendre .... rien du tout :p , et je suis plus à l'aise sous apache que IIS)

    - Au niveau protection des répertoires, j'aimerais savoir comment faire. J'ai un répertoir dédié à l'administration du site (à la racine, je sais c pas top niveau sécurité mais j'ai pas pu faire autrement). J'aimerais donc protéger correctemen tout ça. J'ai tenté .htaccess, il n'en veut pas. Une solution php? ben à part un formulaire et une vérification CGI je n'ai pas trouvé d'autre solution... Pour le listage des répertoires, visiblement une sécurité à déjà été mise en place (impossible de lister un répertoire ne contenant pas d'index.php, mais on peut toujours accéder au contenu en indiquant dossier/fichierAuHasard.extension )


    Je me trouve das une situation assez délicate et vu l'incompétance de l'admin (c'était pas mon boulot à l'origine :'( ) j'aimerais qu'on m'indique les marches à suivre pour sécuriser un peu tout ça de façon "locale" (c'est à dire sans avoir accès à la config de IIS) ou, si une intervention de l'admin est necessaire, expliquer les marches à suivre.

    En vous remerciant

  2. #2
    Membre actif Avatar de zzzThibaut
    Inscrit en
    Février 2007
    Messages
    225
    Détails du profil
    Informations personnelles :
    Âge : 50

    Informations forums :
    Inscription : Février 2007
    Messages : 225
    Points : 278
    Points
    278
    Par défaut
    Salut
    Vérifie si sur ton serveur tu as plusieurs serveur web virtuel disponible. J'imagine assez bien que tu dois en avoir au minimum deux.Un premier qui est le défault et qui écoute toute les requêtes et un deuxième configurer pour écouter uniquement les requêtes entrant avec ton nom de domaine. Si les deux serveurs ont le même répertoire root, alors lorsque tu accède ton site avec le nom de domaine, tu arrives sur le serveurs web virtuel 2, alors que si tu accèdes ton sites avec l'adresse IP, tu arrives sur le serveurs web virtuels par défaut qui n'est pas configuré pour PHP,... et donc qui te retourne les sources PHP.
    zzzThibaut
    --------------------------------------------------------------------------
    For a moment, nothing happened. Then, after a second or so, nothing continued to happen.
    Thibaut CHARLIER

  3. #3
    Membre du Club
    Profil pro
    Inscrit en
    Août 2003
    Messages
    105
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Août 2003
    Messages : 105
    Points : 61
    Points
    61
    Par défaut
    merci bien, je viens d'envoyer un mail à l'admin avec les infos que tu m'a décrites et j'attend une réponse de sa part.
    Je te tiens au courant pour la suite.

    Par contre, j'ai toujours le 2eme probleme à résoudre
    Donc n'hésitez pas a répondre

  4. #4
    Membre actif Avatar de zzzThibaut
    Inscrit en
    Février 2007
    Messages
    225
    Détails du profil
    Informations personnelles :
    Âge : 50

    Informations forums :
    Inscription : Février 2007
    Messages : 225
    Points : 278
    Points
    278
    Par défaut
    Pour la sécurité de tes répertoires, tu dois mettre des permissions NTFS sur le répertoire que tu veux accéder, configurer IIS pour n'accepter que NTLM comme authentification, et créer des comptes user windows pour accéder à ton répertoire. Ton Browser te demandera inévitablement un nom d'utilisateur et un mot de passe pour y accéder.
    zzzThibaut
    --------------------------------------------------------------------------
    For a moment, nothing happened. Then, after a second or so, nothing continued to happen.
    Thibaut CHARLIER

Discussions similaires

  1. Réponses: 1
    Dernier message: 04/11/2013, 11h34
  2. probleme d'identification sous IIS
    Par hbespoir2003 dans le forum ASP.NET
    Réponses: 11
    Dernier message: 28/10/2008, 15h54
  3. Réponses: 1
    Dernier message: 14/09/2007, 17h02
  4. Réponses: 0
    Dernier message: 10/08/2007, 22h42
  5. Enrgistrer une dll sous IIS
    Par jeff37 dans le forum ASP
    Réponses: 2
    Dernier message: 12/07/2004, 18h23

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo