Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre
à disposition du public.
Le problème est que j'utilise l'espace Web de mon provider qui n'offre
que du HTTP simple (pas de HTTPS)
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.
Mon idée est donc la suivante :
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.
2/ Je crée un répertoire dont je génère le nom avec l'algo MD5
appliqué un fichier quelconque qui va me retourner une clé de 64bits :
le nom en hexa sera le nom du répertoire.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !
Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à
vous:
=> quelles sont les failles de mon système ?
La 1ère, je la connais : en diffusant mon lien en clair, il est tout à
fait possible de l'intercepter et de découvrir le fichier.
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
N'est-ce pas la config par défaut d'Apache ?
2/ Je crée un répertoire dont je génère le nom [...]
Ou avec n'importe quel générateur de nombres aléatoires.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel proxy, et dans l'historique du navigateur.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.
N'est-ce pas la config par défaut d'Apache ?
2/ Je crée un répertoire dont je génère le nom [...]
Ou avec n'importe quel générateur de nombres aléatoires.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel
proxy, et dans l'historique du navigateur.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
N'est-ce pas la config par défaut d'Apache ?
2/ Je crée un répertoire dont je génère le nom [...]
Ou avec n'importe quel générateur de nombres aléatoires.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel proxy, et dans l'historique du navigateur.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
N'est-ce pas la config par défaut d'Apache ?
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de pages perso de Free. Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel proxy, et dans l'historique du navigateur.
D'accord, mais seuls les admins de Free peuvent y accéder et comme de toutes façons, ils ont toutes mes données, je pense que je peux leur faire confiance pour ça. Pour le navigateur, il faut quand même réussir à hacker la machine de la personne pour avoir l'historique.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL.
On 5 juil, 09:22, Fabien LE LEZ <grams...@gramster.com> wrote:
On 05 Jul 2007 07:00:34 GMT, for....@laposte.net:
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.
N'est-ce pas la config par défaut d'Apache ?
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de
pages perso de Free.
Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel
proxy, et dans l'historique du navigateur.
D'accord, mais seuls les admins de Free peuvent y accéder et comme de
toutes façons, ils ont toutes mes données, je pense que je peux leur
faire confiance pour ça.
Pour le navigateur, il faut quand même réussir à hacker la machine de
la personne pour avoir l'historique.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.
Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
N'est-ce pas la config par défaut d'Apache ?
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de pages perso de Free. Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Sauf que l'URL va se retrouver dans les logs d'Apache et de l'éventuel proxy, et dans l'historique du navigateur.
D'accord, mais seuls les admins de Free peuvent y accéder et comme de toutes façons, ils ont toutes mes données, je pense que je peux leur faire confiance pour ça. Pour le navigateur, il faut quand même réussir à hacker la machine de la personne pour avoir l'historique.
Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL.
Fabien LE LEZ
On 05 Jul 2007 10:29:33 GMT, :
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL
Si.
On 05 Jul 2007 10:29:33 GMT, for.fun@laposte.net:
Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL
Si.
Bastien Durel
On 05/07/2007 12:29, wrote: [...]
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté En général[1], non. le mot de passe est juste codé en base64, ce qui lui
permet de se jouer des problèmes d'encoding, mais n'apporte aucune sécurité.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL. Dans le cas d'une URL secrète, toute l'information est aussi dans le
mail, la sécurité est donc au mieux aussi mauvaise ;)
[1] Oui, l'authentification Digest/md5 existe, mais de là à ce qu'elle soit proposée ou mise en avant ... Et on peut aussi faire du plain/SSL
-- Bastien La vérité ne fait pas tant de bien dans le monde que ses apparences y font de mal. -+- François de La Rochefoucauld (1613-1680), Maximes 64 -+-
On 05/07/2007 12:29, for.fun@laposte.net wrote:
[...]
Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté
En général[1], non. le mot de passe est juste codé en base64, ce qui lui
permet de se jouer des problèmes d'encoding, mais n'apporte aucune sécurité.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.
Dans le cas d'une URL secrète, toute l'information est aussi dans le
mail, la sécurité est donc au mieux aussi mauvaise ;)
[1] Oui, l'authentification Digest/md5 existe, mais de là à ce qu'elle
soit proposée ou mise en avant ... Et on peut aussi faire du plain/SSL
--
Bastien
La vérité ne fait pas tant de bien dans le monde
que ses apparences y font de mal.
-+- François de La Rochefoucauld (1613-1680), Maximes 64 -+-
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté En général[1], non. le mot de passe est juste codé en base64, ce qui lui
permet de se jouer des problèmes d'encoding, mais n'apporte aucune sécurité.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL. Dans le cas d'une URL secrète, toute l'information est aussi dans le
mail, la sécurité est donc au mieux aussi mauvaise ;)
[1] Oui, l'authentification Digest/md5 existe, mais de là à ce qu'elle soit proposée ou mise en avant ... Et on peut aussi faire du plain/SSL
-- Bastien La vérité ne fait pas tant de bien dans le monde que ses apparences y font de mal. -+- François de La Rochefoucauld (1613-1680), Maximes 64 -+-
Kevin Denis
Le 05-07-2007, a écrit :
N'est-ce pas la config par défaut d'Apache ?
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de pages perso de Free. Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
Tu uploades un fichier qui s'appelle index.html et qui contient:
<HTML></HTML>
et hop, plus aucun fichier visible.
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des donnees, il faut obligatoirement une couche SSL.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL.
-- Kevin
Le 05-07-2007, for.fun@laposte.net <for.fun@laposte.net> a écrit :
N'est-ce pas la config par défaut d'Apache ?
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de
pages perso de Free.
Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
Tu uploades un fichier qui s'appelle index.html et qui contient:
<HTML></HTML>
et hop, plus aucun fichier visible.
Avec la technique du mot de passe, on ne saisit pas le mot de passe
dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du
serveur Apache.
Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe
est crypté
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette
dernière peut-être forwardée, diffusée facilement). Le mot de passe
peut être donné séparémment (ex: téléphone) de l'URL.
Hélas, ce n'est pas la config par défaut définie sur le serveur Web de pages perso de Free. Par défaut (sans .htaccess bien configuré), toute l'arbo est listable.
Tu uploades un fichier qui s'appelle index.html et qui contient:
<HTML></HTML>
et hop, plus aucun fichier visible.
Avec la technique du mot de passe, on ne saisit pas le mot de passe dans l'URL mais dans une dialog box qui s'ouvre à l'initiative du serveur Apache. Je suppose que lorsqu'on appuie sur OK, l'envoi du login/mot de passe est crypté
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des donnees, il faut obligatoirement une couche SSL.
ce qui n'est bien sûr pas le cas de l'URL (en plus cette dernière peut-être forwardée, diffusée facilement). Le mot de passe peut être donné séparémment (ex: téléphone) de l'URL.
-- Kevin
Fabien LE LEZ
On 05 Jul 2007 15:09:16 GMT, Kevin Denis :
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des donnees, il faut obligatoirement une couche SSL.
Ou bricoler avec du Javascript.
On 05 Jul 2007 15:09:16 GMT, Kevin Denis <kevin@nowhere.invalid>:
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.
Pour le navigateur, il faut quand même réussir à hacker la machine de la personne pour avoir l'historique.
Si la machine utilisée est plus ou moins publique, c'est déjà plus facile.
Ascadix
viens de tapoter sur son clavier .... <news:
Bonjour à tous,
Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre à disposition du public. Le problème est que j'utilise l'espace Web de mon provider qui n'offre que du HTTP simple (pas de HTTPS) Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
Mon idée est donc la suivante :
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
2/ Je crée un répertoire dont je génère le nom avec l'algo MD5 appliqué un fichier quelconque qui va me retourner une clé de 64bits : le nom en hexa sera le nom du répertoire.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à vous:
=> quelles sont les failles de mon système ?
La 1ère, je la connais : en diffusant mon lien en clair, il est tout à fait possible de l'intercepter et de découvrir le fichier.
Merci d'avance.
Autre idée ....
Tu crypte ton fichier, tu upload, tu envoi l'URL à tes contacts et tu leur passe un coup de fil pour leur filer le mot de passe.
coté cryptage, pour faire simple et facile pour des néophytes, 7-Zip en créant une archive cryptée auto-décompactable c'est po compliqué.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
for.fun@laposte.net viens de tapoter sur son clavier ....
<news:1183618802.817081.298120@q75g2000hsh.googlegroups.com>
Bonjour à tous,
Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre
à disposition du public.
Le problème est que j'utilise l'espace Web de mon provider qui n'offre
que du HTTP simple (pas de HTTPS)
Les personnes à qui je compte envoyer le lien ne sont pas expertes en
informatique (loin de là !) donc je ne souhaite pas mettre en place un
système à base de login/mot de passe.
Mon idée est donc la suivante :
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec
le mot clé "IndexIgnore *" => comme ça, impossible de lister les
répertoires.
2/ Je crée un répertoire dont je génère le nom avec l'algo MD5
appliqué un fichier quelconque qui va me retourner une clé de 64bits :
le nom en hexa sera le nom du répertoire.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires
n'étant pas listables et le nom de répertoire étant complexe, je
suppose qu'il est difficile voire impossible de découvrir le fichier
du lien sans le lien !
Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à
vous:
=> quelles sont les failles de mon système ?
La 1ère, je la connais : en diffusant mon lien en clair, il est tout à
fait possible de l'intercepter et de découvrir le fichier.
Merci d'avance.
Autre idée ....
Tu crypte ton fichier, tu upload, tu envoi l'URL à tes contacts et tu leur
passe un coup de fil pour leur filer le mot de passe.
coté cryptage, pour faire simple et facile pour des néophytes, 7-Zip en
créant une archive cryptée auto-décompactable c'est po compliqué.
--
@+
Ascadix
adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Je tiens à diffuser un lien vers un fichier que je ne veux pas mettre à disposition du public. Le problème est que j'utilise l'espace Web de mon provider qui n'offre que du HTTP simple (pas de HTTPS) Les personnes à qui je compte envoyer le lien ne sont pas expertes en informatique (loin de là !) donc je ne souhaite pas mettre en place un système à base de login/mot de passe.
Mon idée est donc la suivante :
1/ Je place un fichier ".htaccess" à la racine de mon espace Web avec le mot clé "IndexIgnore *" => comme ça, impossible de lister les répertoires.
2/ Je crée un répertoire dont je génère le nom avec l'algo MD5 appliqué un fichier quelconque qui va me retourner une clé de 64bits : le nom en hexa sera le nom du répertoire.
3/ Je diffuse le lien par email à ma liste restreinte. Les répertoires n'étant pas listables et le nom de répertoire étant complexe, je suppose qu'il est difficile voire impossible de découvrir le fichier du lien sans le lien !
Ceci dit, étant loin d'être un expert en sécurité, je m'adresse à vous:
=> quelles sont les failles de mon système ?
La 1ère, je la connais : en diffusant mon lien en clair, il est tout à fait possible de l'intercepter et de découvrir le fichier.
Merci d'avance.
Autre idée ....
Tu crypte ton fichier, tu upload, tu envoi l'URL à tes contacts et tu leur passe un coup de fil pour leur filer le mot de passe.
coté cryptage, pour faire simple et facile pour des néophytes, 7-Zip en créant une archive cryptée auto-décompactable c'est po compliqué.
-- @+ Ascadix adresse @mail valide, mais ajoutez "sesame" dans l'objet pour que ça arrive.
Julien Salgado
Fabien LE LEZ a écrit :
On 05 Jul 2007 15:09:16 GMT, Kevin Denis :
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des donnees, il faut obligatoirement une couche SSL.
Ou bricoler avec du Javascript.
Le problème c'est que le javascript sera envoyé en clair en HTTP et par conséquent modifiable (moins facile que de capturer un mot de passe). Par suite, on peut faire en sorte de faire autre chose en plus de l'authentification sur le site.
-- Julien
Fabien LE LEZ a écrit :
On 05 Jul 2007 15:09:16 GMT, Kevin Denis <kevin@nowhere.invalid>:
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des
donnees, il faut obligatoirement une couche SSL.
Ou bricoler avec du Javascript.
Le problème c'est que le javascript sera envoyé en clair en HTTP et
par conséquent modifiable (moins facile que de capturer un mot de
passe). Par suite, on peut faire en sorte de faire autre chose en plus
de l'authentification sur le site.
tu supposes mal. Le login/pass circule en clair. Pour chiffrer des donnees, il faut obligatoirement une couche SSL.
Ou bricoler avec du Javascript.
Le problème c'est que le javascript sera envoyé en clair en HTTP et par conséquent modifiable (moins facile que de capturer un mot de passe). Par suite, on peut faire en sorte de faire autre chose en plus de l'authentification sur le site.
-- Julien
for.fun
Merci à tous pour vos posts.
Donc si j'ai bien compris : que le mot de passe soit saisi directement dans l'URL ou bien dans la dialog box, le mot de passe circule de toutes façons en clair dans la trame (c'est dommage, ils auraient pu au moins crypter l'envoi du mot de passe) En gros, c'est https ou rien du tout ou bien sinon il faut mettre en place des petits développements permettant de crypter l'info.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible de faire autre chose que de l'http. Donc je suppose que le seul moyen, comme vous me l'avez conseillé est de mettre en place un petit prog en Java script. Et de ce côté, je suis novice de chez novice !
Merci à tous pour vos posts.
Donc si j'ai bien compris : que le mot de passe soit saisi directement
dans l'URL ou bien dans la dialog box, le mot de passe circule de
toutes façons en clair dans la trame (c'est dommage, ils auraient pu
au moins crypter l'envoi du mot de passe)
En gros, c'est https ou rien du tout ou bien sinon il faut mettre en
place des petits développements permettant de crypter l'info.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible
de faire autre chose que de l'http.
Donc je suppose que le seul moyen, comme vous me l'avez conseillé est
de mettre en place un petit prog en Java script.
Et de ce côté, je suis novice de chez novice !
Donc si j'ai bien compris : que le mot de passe soit saisi directement dans l'URL ou bien dans la dialog box, le mot de passe circule de toutes façons en clair dans la trame (c'est dommage, ils auraient pu au moins crypter l'envoi du mot de passe) En gros, c'est https ou rien du tout ou bien sinon il faut mettre en place des petits développements permettant de crypter l'info.
Le problème chez Free, c'est que je ne crois pas qu'il soit possible de faire autre chose que de l'http. Donc je suppose que le seul moyen, comme vous me l'avez conseillé est de mettre en place un petit prog en Java script. Et de ce côté, je suis novice de chez novice !