Sécurité et forum ?

Dimanche 17 Avril 2011 11:20

J'aurais besoin d'avis de connaisseurs en forums et informatique.

Ma question aborde la sécurité des pseudos et mots de passe d'un forum gratuit en
phpBB.

Suite à polémique sur un forum auquel je participais, on s'interroge sur la sécurité.

En effet, on a remarqué des copies de certaines parties privées (donc réservées à certains seulement) du forum qui se sont retrouvées sur un autre forum 'concurrent'

On a cherché pourquoi évidemment et on a remarqué que pour certains pseudos, on leur trouvait jusque 4 adresses IP (alors que cette personne utilise au mieux 3 pc donc 1 est un mystère). On a aussi trouvé des connexions de cette personne bien après minuit alors que celle ci n'est jamais connectée aussi tard (personne de confiance donc on sait que ce n'est pas elle)

Selon vous, y a t'il une sécurité des pseudos et mots de passe sur ces forums?
Quelqu'un d'un peu doué en informatique peut il facilement utiliser un autre pseudo?
"Brule la gomme, pas ton âme" http://www.objectif-moto.com

Dimanche 17 Avril 2011 11:55

Je gère un forum phpbb depuis des années et j'ai déjà été hacké une fois par des gars qui avaient utilisé une faille de sécurité phpbb pour pouvoir uploader des centaines de chansons en mp3 chez moi et les partager sur un site d'où consommation rapide de ma bande passante réseau mensuelle.

Donc premier point: ne jamais tarder à appliquer les patches de phpbb et se méfier des plugins qui ne sont pas toujours aussi bien maintenus que phpbb lui-même.

Ensuite, les mots de passe dans la base phpbb sont encryptés, donc à priori si quelqu'un arrive à accéder à ta base il ne peut pas les décrypter Sauf que parfois les utilisateurs choisissent des mots simples qu'on peut craquer par la force brute.

Une autre erreur courante des utilisateurs est d'utiliser le même nom et mot de passe sur plusieurs forums, si un des forums se fait hacker ou bien que l'un des forums est malhonnête alors on peut usurper ton identité.

De manière générale, les utilisateurs devraient utiliser des mots de passe générés aléatoirement et uin gestionnaire de mots de passe pour ne pas avoir à s'en souvenir.

A+

Dimanche 17 Avril 2011 13:22

N'importe quel CMS contient des failles de sécurités, qui sont plus ou moins corrigé, cela dépend de l'équipe qui est derrière et de la communoté autour de ces projets.

La meilleur façon est de tenir à jour son CMS. Et aussi, NEVER TRUST A USER. Tu auras beau mettre en place des outils de sécurité dignes de la NASA, l'utilisateur mettra des mots de passe du genre :
- aaa
- abcdef
- 0000
- azerty
- ....
fin bref, le genre de mot passe qui ne tient pas 2 min. Donc il faut les forcer à mettre des mots de passe comprenant minuscule, majuscule, chiffre et ponctuation, et surtout pas un mot de passe qui a un sens.

Mardi 19 Avril 2011 10:54

Je ne crois pas qu'ici le mot de passe soit en cause, il devrait être du style 3 lettres, trois chiffres pour en avoir parlé avec l'intéressé.
Enfin visiblement, il y a eu consultation du forum avec son login sans que ce ne soit lui aux commandes.
"Brule la gomme, pas ton âme" http://www.objectif-moto.com

Vendredi 29 Avril 2011 10:59

Tu peux porter plainte pour vol et l'utilisation d'un login / mdp d'une tierce personne
Ping un jour, Pong toujours.

Lundi 25 Mars 2013 13:34

Rien de tel que de prendre un certificat SSL, je pense que la sécurité de son site web, forum ou bien blog est important.

Lundi 25 Mars 2013 16:03

Entièrement d'accord concernant les mots de passes : un mot de passe (même crypté) si il n'est pas assez compliqué, c'est à dire, pas de mot, pas de suite de chiffre logique etc... n'est pas sécurisé et peut, grâce au brut force être trouvé "facilement". PhpBB n'est pas forcemment en cause, bien que la solution (comme beaucoup d'autres CMS) contienne probablement des failles de sécurité.
0
0
7 messages

Vous êtes ici : Accueil > Forums > Développement de vos sites