forum Abc de la sécurité informatique

weirip · 30-01-2010 10:19:30

Bonjour à tous
pour moi il est évident que si les données d'un site web sont utilisées à titre uniquement privé et qu'en plus il contient des informations stratégiques il faut que ce site soit au minimum bloqué par htaccess, voir par ip.

Mon entreprise ne le fait pas, j'aimerais argumenter mon propos en etayant les risques de sécurité auxquels ils s'exposent, et c'est là ou je pêche un peu. Le site est bloqué par un login et mot de passe, il n'y a même aucun blocage si 3 tentatives...

Pouvez vous m'aider à exposer des cas concrets de risques, je vous remercie

habana · 01-02-2010 14:35:17

weirip a écrit:
il faut que ce site soit au minimum bloqué par htaccess, voir par ip.

pour le .htaccess c'est très simple de créer un fichier texte renommé de la sorte et d'y entrer la plage d'IP de la société.

Code:

deny from all
allow from 127.0.0

Cependant, ça empêche les utilisateurs externes réguliers d'y accéder hors entreprise et ne bloquera pas un pirate parvenu à entrer dans le réseau de la boite de commettre ses méfaits de l'intérieur.
L'accès par certificat signé via ssl permet de chiffrer connexion et données consultées tout en réduisant les accès indésirables.

Pour des cas concrets de risque, il suffit d'imaginer le résultat de fuites sur des bases des données ou informations sensibles, vol de mot de passe, listing des clients ou des fournisseurs. Le defacement du site peut sérieusement ternir l'image de la boite . Vois l'écho donné dans la presse quand un site d'entreprise se retrouve mis en avant pour des raisons négatives , comme exposées ci-dessus.

#1 30-01-2010 10:19:30

Bloquage site par ip, htaccess

#2 01-02-2010 14:35:17

Re: Bloquage site par ip, htaccess

weirip a écrit:

Code: