Admin django zeste de savoir

a marqué ce sujet comme résolu.

Bonjour,

De la même façon qu’un hackeur pourrait essayer de craquer le mot de passe de connexion à un compte Zeste de Savoir.

Donc non, ce n’est pas un réel risque pour notre site. Du moment que les mots de passe utilisés sont suffisamment robustes et que la gestion du formulaire de connexion est faite dans les règles de l’art en termes de sécurité, il n’y a pas de risque particulier. Remettre en cause la sécurité de cette page de connexion (sans plus d’argument qu'un hackeur pourrait essayer de craquer le mot de passe), c’est remettre en cause tous les formulaires de connexion sur tous les sites qui demandent de s’authentifier. :)

sauf que si tu accedes à l’admin de django , tu peux supprimer (je pense) tous les comptes y compris les comptes superutilisateur ,alors que si tu accede à un compte tu pourras juste supprimer celui là. autre remarque le fait d' avoir un port ssh ouvert est pas super pour votre site ;)

pourquoi ne pas enlever l’url admin de django du routage?

+0 -0

Ce n’est pas le seul trou de sécurité à bien y réfléchir. Pourquoi laisser un accès au site en HTTPS sur le port 443 ?

Des tas de gens pourraient utiliser cet accès public au site pour supprimer des données et causer des problèmes.

Supprimons donc cet accès sur le port 443, comme ça les hackers ne pourront plus causer de tort à ZdS. Ensuite on pourra éventuellement réfléchir au fait que ça empêche juste les utilisateurs d’accéder au site tout court, mais la sécurité avant tout !

Plus sérieusement, s’il y a toujours un accès protégé par mot de passe à l’interface d’admin, c’est juste que les administrateurs du site on besoin d’accéder à l’interface d’admin. L’existence de cet accès n’est pas une faille de sécurité en soi. Il existe parce qu’une utilisation nominale du site par les admins le requiert. Ce qui importe ce sont les stratégies de sécurité qui sont mises en place pour protéger cet accès.

+7 -0

Je souhaiterai ajouter que lorsqu’on trouve ce que l’on pense être une faille de sécurité, il est plutôt d’usage de le signaler d’abord en privé, pour éviter de donner des idées à d’éventuels pirates.

+7 -0

@leHackeur2.0 Visiblement tu t’amuses avec des outils d’analyse sur le serveur de Zeste de Savoir, sans avoir prévenu et encore moins avoir obtenu l’autorisation des administrateurs.

À ta place c’est quelque chose que j’éviterais, parce que la loi ne rigole pas du tout avec ce genre de pratique. Même si je doute que Zeste de Savoir te traine en justice, d’autres entités sont très chatouilleuse sur ce sujet.

qu’elle est le domaine zdsprod1.zestedesavoir.com qui est un site que google signale comme malveillant .

Google ne le signale pas comme malveillant, c’est juste que n’importe quel navigateur détecte que son URL ne fait pas partie des sites listés dans le certificat TLS utilisé par ZdS, ce qui ne constitue pas un problème en soi puisque ce n’est pas à cette adresse que les gens accèdent au site.

normalement le https se trouve sur le port 80 mais là c’est sur le port 443 o_O

normalement le http se trouve sur le port 443 mais là c’est sur le port 80 o_O

leHackeur2.0

Non.

https://fr.wikipedia.org/wiki/Liste_de_ports_logiciels

Je pense que ce serait pas mal d’éviter d’être aussi assertif sur des sujets sur lesquels, de toute évidence, tu es en plein apprentissage.

+3 -0
Connectez-vous pour pouvoir poster un message.
Connexion

Pas encore membre ?

Créez un compte en une minute pour profiter pleinement de toutes les fonctionnalités de Zeste de Savoir. Ici, tout est gratuit et sans publicité.
Créer un compte