=?iso-8859-1?B?TGllbiBIVFRQIHPpY3VyaXPpID8=?

Le
for.fun
Bonjour à tous,

Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre
à disposition du public.
Le problème est que j'utilise l'espace Web de mon provider qui n'offre
que du HTTP simple (pas de HTTPS)
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.

Mon idée est donc la suivante :

1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.

2/ Je crée un répertoire dont je génère le nom avec l'algo MD5
appliqué un fichier quelconque qui va me retourner une clé de 64bits :
le nom en hexa sera le nom du répertoire.

3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !

Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à
vous:

=> quelles sont les failles de mon système ?

La 1ère, je la connais : en diffusant mon lien en clair, il est tout à
fait possible de l'intercepter et de découvrir le fichier.

Merci d'avance.
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Fabien LE LEZ
Le #868787
On 05 Jul 2007 07:00:34 GMT, :

1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.


N'est-ce pas la config par défaut d'Apache ?

2/ Je crée un répertoire dont je génère le nom [...]


Ou avec n'importe quel générateur de nombres aléatoires.

3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !


Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel
proxy, et dans l'historique du navigateur.

Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.


En quoi suivre une URL du style

http://login:/fichier

est plus compliqué qui suivre une URL

http://example.com/repertoire_au_nom_secret/fichier

?

for.fun
Le #868786
On 5 juil, 09:22, Fabien LE LEZ
On 05 Jul 2007 07:00:34 GMT, :

1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.


N'est-ce pas la config par défaut d'Apache ?


Hélas, ce n'est pas la config par défaut définie sur le serveur Web de
pages perso de Free.
Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.


3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !


Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel
proxy, et dans l'historique du navigateur.


D'accord, mais seuls les admins de Free peuvent y accéder et comme de
toutes façons, ils ont toutes mes données, je pense que je peux leur
faire confiance pour ça.
Pour le navigateur, il faut quand même réussir à hacker la machine de
la personne pour avoir l'historique.


Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.


En quoi suivre une URL du style

http://login:/fichier

est plus compliqué qui suivre une URL

http://example.com/repertoire_au_nom_secret/fichier

?


Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.


Fabien LE LEZ
Le #868785
On 05 Jul 2007 10:29:33 GMT, :

Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL


Si.

Bastien Durel
Le #868783
On 05/07/2007 12:29, wrote:
[...]
Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté
En général[1], non. le mot de passe est juste codé en base64, ce qui lui

permet de se jouer des problèmes d'encoding, mais n'apporte aucune sécurité.

ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.
Dans le cas d'une URL secrète, toute l'information est aussi dans le

mail, la sécurité est donc au mieux aussi mauvaise ;)

[1] Oui, l'authentification Digest/md5 existe, mais de là à ce qu'elle
soit proposée ou mise en avant ... Et on peut aussi faire du plain/SSL

--
Bastien
La vérité ne fait pas tant de bien dans le monde
que ses apparences y font de mal.
-+- François de La Rochefoucauld (1613-1680), Maximes 64 -+-

Kevin Denis
Le #868782
Le 05-07-2007,

N'est-ce pas la config par défaut d'Apache ?


Hélas, ce n'est pas la config par défaut définie sur le serveur Web de
pages perso de Free.
Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.

Tu uploades un fichier qui s'appelle index.html et qui contient:

<HTML></HTML>

et hop, plus aucun fichier visible.

Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté


tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.

ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.



--
Kevin


Fabien LE LEZ
Le #868781
On 05 Jul 2007 15:09:16 GMT, Kevin Denis
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.


Ou bricoler avec du Javascript.

Fabien LE LEZ
Le #868780
On 05 Jul 2007 10:29:33 GMT, :

Pour le navigateur, il faut quand même réussir à hacker la machine de
la personne pour avoir l'historique.


Si la machine utilisée est plus ou moins publique, c'est déjà plus
facile.

Ascadix
Le #874033
viens de tapoter sur son clavier ....

Bonjour à tous,

Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre
à disposition du public.
Le problème est que j'utilise l'espace Web de mon provider qui n'offre
que du HTTP simple (pas de HTTPS)
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.

Mon idée est donc la suivante :

1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.

2/ Je crée un répertoire dont je génère le nom avec l'algo MD5
appliqué un fichier quelconque qui va me retourner une clé de 64bits :
le nom en hexa sera le nom du répertoire.

3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !

Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à
vous:

=> quelles sont les failles de mon système ?

La 1ère, je la connais : en diffusant mon lien en clair, il est tout à
fait possible de l'intercepter et de découvrir le fichier.

Merci d'avance.


Autre idée ....

Tu crypte ton fichier, tu upload, tu envoi l'URL à tes contacts et tu leur
passe un coup de fil pour leur filer le mot de passe.

coté cryptage, pour faire simple et facile pour des néophytes, 7-Zip en
créant une archive cryptée auto-décompactable c'est po compliqué.


--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.

Julien Salgado
Le #872132
Fabien LE LEZ a écrit :
On 05 Jul 2007 15:09:16 GMT, Kevin Denis
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.


Ou bricoler avec du Javascript.


Le problème c'est que le javascript sera envoyé en clair en HTTP et
par conséquent modifiable (moins facile que de capturer un mot de
passe). Par suite, on peut faire en sorte de faire autre chose en plus
de l'authentification sur le site.

--
Julien


for.fun
Le #872128
Merci à tous pour vos posts.

Donc si j'ai bien compris : que le mot de passe soit saisi directement
dans l'URL ou bien dans la dialog box, le mot de passe circule de
toutes façons en clair dans la trame (c'est dommage, ils auraient pu
au moins crypter l'envoi du mot de passe)
En gros, c'est https ou rien du tout ou bien sinon il faut mettre en
place des petits développements permettant de crypter l'info.

Le problème chez Free, c'est que je ne crois pas qu'il soit possible
de faire autre chose que de l'http.
Donc je suppose que le seul moyen, comme vous me l'avez conseillé est
de mettre en place un petit prog en Java script.
Et de ce côté, je suis novice de chez novice !
Publicité
Poster une réponse
Anonyme