Èsska (S-K)

Passe privé.

Tu es français?

Sinon ça reste trop simple. Le fond pourrait être plus explicite avec imaginons un appart avec des joueurs. Ça pourrait mettre en avant le texte, qui d'ailleurs est trop simple. Le jeu de couleur va pas. ^^' Bonne continuation pour la suite.

à l’instant, Ubrain a dit :

 

Oui, merci pour les petites corrections S-K, 

Mais après tu n'as fait que répéter ce que j'ai dit

 

Et corriger certaines choses.

à l’instant, Ubrain a dit :

 

Salut ! Oui c'est vrai que ce que j'ai pu dire était très vague, voici une petite listes des erreurs qui se cachent bien mais dont il est très important d'y faire attentions et certaines de ces failles peuvent être destructrices. 

 

• Il il y a tout d'abord ce que j'appelle les failles PHP, il en existe plein, en voici deux dont il est important de connaître avant de faire son site : la fameuse faille include() et une faille un peu moins connue, la faille upload. Pur un peu plus d'informations la faille include récupère les données d'une page ne nous appartenant pas et pour upgrade c'est un peu plus technique car c'est de l'injection de code dans le serveur. Je te laisse rechercher pour plis d'infos ^^
• Le ForceBrute, très connu, il n'agit pas sur le serveur pour une fois, c'est un algorithme en Python qui va tenter des milliers de combinaisons de mot de passe par seconde et donc fini par trouver le mot de passe. Ceci, comme tu peux te l'imaginer peut nous faire accéder à la session d'un administrateur... Pour t'en protéger, il suffit de mettre une variable soit $_COOKIE soit $_SESSION qui va augmenter d'une à chaque tentative de connexion ratée, puis tu rajoute après une vérification (if) qui devrait ressembler à celle-ci : if($_SESSION['forcebrute'] <= 25) { echo '<input type="text" placeholder="Entre ton pseudo et ton mdp">'; } else { echo 'Trop de tentatives échouées !'; } 

C'est les principales failles sur un site il en existe plein d'autres, si je te fais une liste entière j'en ai encore pour dix ans ^^ 

Sur ce, bonne fin de journée !

UBrainDev

Une fois de plus tu te dépasse! Je m'y attendait pas. Et "Brute-Force"*******

-> Le Brute-Force n'est pas forcément fait qu'en Python. Il peut être fait en plusieurs langages différents, ça reste le même procédé.

Ce système déjà pour bloquer le brute-force, est facilement contournable, et par la même façon, il va bloquer un utilisateur lambda si il n'y a pas de durée sur l'erreur "Trop de tentatives échouées". Donc il ne suffit pas de faire ça. Pour contourner, suffit de rajouter la fonction de vider le cache à chaque entrée de donnée toutes les tranches de x tentatives, et donc, ça bypass de loin ton système. Faire une liste entière de failles, c'est impossible sachant que chaque jour, de nouvelles failles sont dévoilées et il y a plusieurs moyens d'exploiter un site. Par ses serveurs ou par les ouvertures liées aux codes. Enfin bref. Pour ce qui est de la faille upload par la même occasion, elle est plutôt connue. Car lorsqu'on envoi un fichier dans notre serveur, il faut bien se douter que ça peut être gênant si quelqu'un arrive à entrer n'importe quoi. Enfin bref, je vais te contre-dire pendant pas mal de temps si jamais je reste plus longtemps sur ce commentaire.

Il y a 17 heures, Ubrain a dit :

 

Comme l'à très bien dit Calypso , on est jamais vraiment en sécurité nulle part car faire une attaque ddos est bien plus simple que ce que l'on peut croire, en trafiquant deux trois trucs sur l'invite de commande et c'est parti, le site est inaccessible et entre développeurs, joueurs et créateurs on sait très bien que des gamins en manque d'amis ne trouvent rien de mieux que de semer la colère en faisant cela.. 

 

Des gamins comme ça il y en aura toujours et malheureusement, mais si tu veux un conseil : installe un anti ddos c'est très pratique et marche vraiment bien que la question de base n'était pas sur la protection de ton retro mais plutôt une question, je vais te répondre (enfin ! Je suis plus hors sujet !) 

 

Parmis les nombreux rétro que j'ai pu développer que ce soit en php ou en SQL, là plupart de ces rétros se faisait ddos mais ce n'est pas la cause principale de la mort des rétros, il faut aussi faire attention aux faille XSS, ForceBrute et autres...

 

J'espère en avoir aidé plus d'un par mes commentaires hors-sujets 

Bonne continuation à tous !

UBrain Dev

 

Ma réponse est utile ? N'hésite pas à mettre un pouce bleu ^^

Qu'on sois bien d'accord, on parle pas de failles de sécurité actuellement. Et tu fais quelques erreurs sachant que tu avances le fait que tu gères peut-être mal les failles web. Que ce sois une grosse entreprise ou une petite entreprise ( métaphore quand aux rétros ), il faut savoir qu'il y aura toujours une communauté derrière. Qu'elle sois "pourrie" ou non, ils chercheront forcément pour le moindre d'entre-eux de tester la qualité des services et de ce qu'ils proposent. Et donc ils chercheront à exploiter des failles s'il y en a. Et crois-moi que ça s'arrête pas au brute-force, au XSS, aux injections SQL. Si tu connais que ceux là, tu risques pas d'aller loin, je t'en cite quelques  un:

-> CSRF

-> Include

-> Require

-> Cookies

Et j'en passe.

Ce qui explique que très peu de gens dans la communauté ne connaissent que la base des failles les plus courantes, c'est sûrement car le niveau est très limité. Mais crois-moi que si jamais dans une entreprise tu te fais avoir, en général, c'est jamais pour si peu voir rarement pour pas dire jamais.

Enfin bref, je suis pas venu ici pour faire un cours sur la sécurité, je dis pas que tu es médiocre en tant que développeur, tu devrais éviter d'être hors-sujet.

On parle d'attaque et non d'exploitation de failles.

à l’instant, Ubrain a dit :

Il faut faire la différence entre faire des critiques négatives, déstabilisantes... (Ton retro n'ira pas bien loin et j'en passe...) et aider

 

Son retro est un peu certes "médiocre" mais de la à aller faire la morale à un retro qui à deux jours et qui est en plein progrès je trouve cela vraiment ahurissant et vraiment pas sympa envers le créateur qui à simplement demande de l'aide...

 

J'etait témoin de la scène et rabaisser les autres sous pretexe que tu es "un développeur" et "un expert des rétros avec une grande expérience" n'est pas digne d'un développeur... enfin Bref (tel est ton expression préférée --'). 

 

Sérieusement : c'est bien facile de ce cacher derrière le fait que nous avons refuse ton aide alors que la realite est plus choquante, je serais toujours contre les critiques démotivantes gratuites...

La seule mentalité que je ne peut comprendre, ça reste la tienne, j’abhorre ce que tu fais... entre l'hypocrisie et les critiques démotivantes gratuites j’espère que tu vas réfléchir à tes actes...

En aucun cas mon propos était négatif. C'était une affirmation qui reste réelle. Je ne suis en aucun cas hypocrite, sachant que je dis toujours ouvertement et directement à la personne ce que je pense d'elle. Tu peux très bien le lui demander, je lui ai dit ouvertement ce que je pensais de lui.

il y a 39 minutes, MonsieurBanane a dit :

Salut,

 

Essaie d'améliorer ton sujet, en précisant par exemple ton CMS actuelle le lien de ton rétro etc.

 

Bonne chance pour ta recherche

NebboCMS

PlusEmu

-> Il veut quelqu'un qui sera bénévole en échange d'un rang, qui devra donc régler certains problèmes que j'avais réglé et supprimé par la même occasion.

Contactez-le directement en privé pour plus d'infos ( quelques exemples :

- Fix badges groupes

- Faille bot

- et j'en passe. )

il y a 10 minutes, Solife a dit :

@Cypher

On voit la présence du support

-> Je lui ai proposé mon aide il me dit que je l'ai déjà aidé. Je comprends pas la mentalité de cette personne. ( Soubran )

à l’instant, MonsieurBanane a dit :

Salut,

 

Essaie de voir aussi dans ta base de donnée la table article si tout est bien mit à l'intérieur.

Si la table n'existerait pas, aucun affichage serait possible mggle, réfléchit un peu.

à l’instant, Invité a dit :

@Kurumi Tokisaki 

  Masquer le contenu

  Masquer le contenu

 

 

Ajoute-moi:

<-------- Mes réseau sociaux

Il y a 8 heures, MonsieurBanane a dit :

Merci beaucoup

Suffit de reprendre le fichier swf de base sans coloration, et ainsi d'ajouter vos couleurs et à partir de là créer de nouveaux fichiers swfs. Ensuite créer le SQL qui va servir pour le catalogue. Reprendre le XML du furnidata du mobis de base, et modifier l'id, le tour est joué. Pour ce qui est de la création du fichier swf, il faut faire en sorte d'utiliser un autre nom ce qui peut être complexe pour certains. Enfin bref. Rien de compliqué en soit.

-> Avant de tomber sur "Èsska", j'ai eu 2 autres pseudo:

Tout à commencer avec "Stuuf-Killer". Je devais avoir 15 - 16 ans à ce moment là. Au bout de quelques mois, je me suis dit que ce pseudo était médiocre et semblait un peu "Kikoo".

J'ai donc décidé de reprendre ce pseudo et de le modifier: "S-K", mais ça me plaisait pas, j'ai rajouté "Dev" étant développeur. Et non, je ne l'ai pas mit car j'ai vu des gens le mettre derrière leur pseudo. Uniquement car S-K était trop petit.

Après pas mal de : "Skedeufeu" ou des gamins me provoquant ouvertement à tord le fait que je suis pas développeur, ou que je suis un noob sachant qu'il y a "Dev" derrière, j'ai donc décidé principalement parce qu'on prononçait vraiment mal mon pseudo, de m'appeler "Èsska". C'est la prononciation pure de S-K et ce n'est pas très court. Donc ça me va comme ça, et je risque pas de changer de pseudo.

à l’instant, R4x0r3 a dit :

Yes je suis d'accord , mais je pars du principe qu'il n'y est rien qui viennent compromettre les données récupérées.

Sinon oui dans ce cas faut passer par un HTTP FORWARDED si derrière un proxy ou un CLIENT IP.

Je doute que ce sois lui le créateur du CMS, donc il faut partir du principe que le gars qu'il l'a fait est pas foutu de gérer les IP.

il y a 29 minutes, R4x0r3 a dit :

A voir si t'as variable ip chopée par ton php est bonne :

 

Je sais pas comment c'est sur les CMS actuelles mais avant sur les anciennes version (v26) dans ton core.php tu avais cette ligne : 

$remote_ip = $_SERVER[REMOTE_ADDR];

qui était ensuite include dans ton index pour définir si la personne était ban ou pas...

Fais un echo de cette variable sur l'index histoire de voir ce que ton remote capte !

Le simple "$_SERVER['REMOTE_ADDR'];" envoi pas forcément l'IP du joueur dans le cas où il utilise Cloudflare / autre. Il faut justement jongler entre les différentes variables pour savoir laquelle est la bonne pour afficher l'IP. Ce pourquoi j'ai demandé s'il utilise Cloudflare ou quelque chose de similaire. ( Proxy, etc. )

Tu utilises Cloudflare ou quelque chose de similaire?

Rien de compliqué mais ça peut aider. Et petite correction, c'est les caches, pas les cookies. Bonne chance à toi pour la suite.

Malheureusement GT:RP est dépassé et perds de plus en plus de joueurs comme tous les serveurs SA:MP au final. De plus en plus de monde se lassent de SA:MP pour des jeux plus récents, sans compter que la majorité sont partit sur du GTA V en serveur privé. Ce que je regrette au fond, c'est surtout que la majorité des joueurs sont des cancers au niveau RP. Et je parlerais pas de GMod car c'est incomparable. Tout les noobs se sont donnés rendez-vous là-bas. Enfin bref, ça va être un débat si je continue. :3 Sinon GTRP est le seul que j'ai apprécier avec un autre. Malheureusement c'est plus ce que c'était avant.

J'ai pas trop bien comprit ta question.

Ajoute moi sur Discord / Skype:

<<---------

à l’instant, R4x0r3 a dit :

Pas de problème ->MP

<- Regarde ici tu as déjà les miens de dispo. ^^

à l’instant, R4x0r3 a dit :

Aha effectivement vue comme ça , mais la version que j'ai partagée n'est pas celle dont je faisais référence dans ma présentation aha !

Je taff sur une autre qui je pense ne seras pas partagée mais vendue hélas ^^.

 

On va dire que je suis fan d'Intel mdr.

Possible de m'ajouter sur Skype / Discord ? J'aimerais en savoir plus niveau fonctionnalités. Savoir de quoi on parle, sachant que je suis moi-même développeur web back-end.

Bienvenue à toi. En revanche ton "projet" est pas vraiment compliqué en soit à réaliser. Je peux te le faire en 2h environ, interface pour un gestionnaire webradio + gestion et modération des dédicaces, etc. C'est du déjà vu et on le trouve presque partout. Enfinbref, bonne chance à toi. Sois dit en passant, ton logo Intel Core i7, j'ai pas trop comprit, tu te ventes d'en avoir un? Tu es fan d'Intel ? ^^

à l’instant, Kurumi Tokisaki a dit :

Oui, je sais au moins il sera le faire xD et sa pourrais servir au autres qui oublie cette faille x)

Comme 90% des CMS dispos en vente et en partage dans la commu française Habbo ? >.>

à l’instant, Kurumi Tokisaki a dit :

Oui ^^ tu créer une fonction hash token, tu prend le pseudo, l'email , une série de chiffre

tu hash tous sa, avec un RAND après tu re hash par dessus. ^^ 60/70 carractère

Oui enfin pas besoin de détails, je sais comment faire, merci ^^

à l’instant, Kurumi Tokisaki a dit :

Oui, suffis de créer un token de sécurité

et après faire en sorte que toute les x temps le token se update automatique.

 

Faut surtout qu'elle soit unique.

-> Faille CSRF qui reste important oublie pas.