Aller au contenu
Support de Zwii
Fred

Version 10.2.000 à découvrir

Messages recommandés

Il y a 6 heures, sylvainlelievre a dit :

Mon idée de départ est de réaliser un exemple de thème téléchargeable (sombre, menu fixe translucide, sans bannière, page translucide, bref comme la page du forum !). En effet par rapport à des cms concurrents on manque de choix côté thèmes (la rubrique ne comporte que tes 2 thèmes) alors que Zwii est déjà doté de tous les outils pour charger un thème et bien sur l'adapter à son goût.

Une rubrique bien alimentée sur le forum et le site serait en effet très attractive !

Partager ce message


Lien à poster
Partager sur d’autres sites

Hello tout le monde,

 

Si ça ne représente pas trop de boulot pour @Fred, je trouverais intéressant d'avoir des boutons "Précédent" et "Suivant" au bas de chaque article des modules "blog" et "news".

 

Qu'en pensez-vous ?

 

Bon week-end

 

Xavier

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 8 heures, sylvainlelievre a dit :

Est-ce qu'il serait possible, plutôt que de lui donner une couleur fixe(?) grey, de lui donner une des couleurs de theme.css (du texte, des liens, des titres,...) ?

On pourrait également appliquer cela à .blogPicture img border et box-shadow ?

Très bonne idée pour la cohérence. La couleur du texte me semble la mien adaptée.

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonsoir,
Le dernier commit (f50e2ab8) est un travail en cours relatif au blocage des connexions par brute force avec test de login.  Juste pour prévenir les testeurs que le code n'est pas définitif. Quand ce sera prêt, je donnerai des détails du processus.

Partager ce message


Lien à poster
Partager sur d’autres sites
il y a 43 minutes, Fred a dit :

un travail en cours relatif au blocage des connexions par brute force avec test de login

 

Wahou !

Tu penses vraiment que c'est nécessaire ?

Qui aurait intérêt à pirater un site perso, d’un club ou d’un petit commerçant ou artisan, jusqu’à tenter de forcer la connexion ?

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 12 heures, Gilux a dit :

 

Wahou !

Tu penses vraiment que c'est nécessaire ?

Qui aurait intérêt à pirater un site perso, d’un club ou d’un petit commerçant ou artisan, jusqu’à tenter de forcer la connexion ?

Des tarés comme cela dont nous avons parlé en MP ou tout bêtement une tentative de s'approprier un espace de stockage.

Avec un script tout bête un formulaire non protégé se hacke très vite et comme le code source est public.

  • J'aime 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Sécurité des connexions 10.2.dev20

image.thumb.png.05c87ff663805896a41d719439c31363.png

Scénario 1 : tentative de découverte d'un mot de passe d'un compte connu. Le nombre de tentatives et la durée du blocage sont paramétrables dans la config.

 

Scénario 2 : tentative de découverte d'un compte valide pour appliquer le scénario  1.

Comme le username n'est pas connu dans user.json il n'est pas possible d'appliquer un timer et un nombre de tentatives. Le dossier Data comprend désormais un fichier blacklist.json qui contient le nom, ip et date/heure des tentatives de connexion. Après le nombre de tentatives du scénario 1, le compte et l'IP sont définitivement bloqués. La connexion à partir d'un compte valide reste possible même si l'IP est blacklistée.

 

Journalisation

 

image.thumb.png.9acc48aaa5fc1b37346e42731c93e13d.png

la journalisation vise à enregistrer les actions des utilisateurs / visiteurs. Sont stockés :

  • la date et l'heure
  • l'ip
  • le username ou 'visiteur"
  • l'url sans le domaine

 

Les connexions et déconnexions sont également stockées. Le journal est au format CSV. Ce fichier ne permet pas de faire des stats.

 

Multi connexion avec un seul compte

 

Il n'est plus possible de disposer de deux sessions ouvertes sur deux navigateurs  différents, la session la plus ancienne est fermée.

 

Multi édition des contenus

 

Il n'est plus possible à deux utilisateurs d'éditer en même temps une page ou la configuration du site, du thème, etc., sauf le gestionnaire de fichier. La ressource est verrouillée le temps de l'édition. Core.php définit un timer ligne 39. Il est de 1800 secondes soit 30 minutes, après dépassement de cette valeur, on considère que l'utilisateur qui a ouvert la ressource n'est plus actif, le verrou est donc libéré.

 

 

 

 

 

 

 

  • J'aime 2

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 6 heures, Fred a dit :

Des tarés comme cela dont nous avons parlé en MP

 

Tu as raison, il faut envisager toutes les possibilités...

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 23 heures, Fred a dit :

la journalisation vise à enregistrer les actions des utilisateurs / visiteurs. Sont stockés :

  • la date et l'heure
  • l'ip

Bonjour @Fred,

 

Pour mon module de Stat je me suis un peu penché sur la règlementation.

 

J'ai vite retiré de mes enregistrements l'IP du visiteur qui est depuis une jurisprudence reconnue comme étant une donnée personnelle permettant l'identification.

Dès qu'on enregistre des IP il faut prévenir l'utilisateur, lui expliquer pourquoi, et lui demander si il accepte qu'on stocke ces informations. On voit apparaître ça de plus en plus sur des sites sérieux.

ça veut dire laïus dans les mentions légales mais peut être aussi fenêtre pour choisir ce que l'utilisateur veut bien autoriser.

 

ça ne devrait pas poser de problème pour les utilisateurs enregistrés, par contre pour les visiteurs c'est autre chose.

 

A suivre...

 

Sylvain

 

 

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour @sylvainlelievre

RGPD c'est quand même du gros foutage de gueule, quand on sait ce qui est capté au quotidien. De plus tous les serveurs Apache, les blogs WorPress font des stats sur les IPs.

Si on la supprime des logs, ce n'est plus nécessaire de conserver la fonction. Par contre pour la sécurité du site, je pense qu'il faudra la conserver de la blacklist.

Problème à creuser quitte à mettre un avertissement.

Bonne journée,

Fred

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour @Fred,

D'accord ils se battent contre des moulins mais on constate quand même des changements qui vont dans le sens du respect des RGPD, exemple mon hébergeur a supprimé les stats (ou la communication des stats ?).

La journalisation est utile même sans les IP, on aura la liste des connexions, éventuellement les pages modifiées.

 

Pour la blacklist j'avais posé la question à Dan du site http://d1.a.free.fr/index.php

Il m'a donné le fichier robots.txt et il a également de (très) gros fichiers d'IP que je n'ai pas conservé, je lui avais posé la question concernant le stockage des IP, voici sa réponse :

"Pour l'iP, c'est une donnée publique qui peut effectivement permettre d'identifier un utilisateur ( par un prestataire, un organisme d'état ou un juge ) c'est pourquoi seul le visiteur peut voir son ip et une partie seulement de celles des visiteurs précédents. Les données des visiteurs de mon site s'effacent automatiquement au delà de 20 visiteurs ou de 24 heures si j'ai de bons souvenirs. Par contre les ip de robots, spammeurs, hackers et personnes mal intentionnées restent dans une base MySQL pour un éventuel blocage..."

 

Sylvain

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 1 heure, sylvainlelievre a dit :

Bonjour @Fred

 

,

 

D'accord ils se battent contre des moulins mais on constate quand même des changements qui vont dans le sens du respect des RGPD, exemple mon hébergeur a supprimé les stats (ou la communication des stats ?).

La journalisation est utile même sans les IP, on aura la liste des connexions, éventuellement les pages modifiées.

 

Pour la blacklist j'avais posé la question à Dan du site http://d1.a.free.fr/index.php

Il m'a donné le fichier robots.txt et il a également de (très) gros fichiers d'IP que je n'ai pas conservé, je lui avais posé la question concernant le stockage des IP, voici sa réponse :

"Pour l'iP, c'est une donnée publique qui peut effectivement permettre d'identifier un utilisateur ( par un prestataire, un organisme d'état ou un juge ) c'est pourquoi seul le visiteur peut voir son ip et une partie seulement de celles des visiteurs précédents. Les données des visiteurs de mon site s'effacent automatiquement au delà de 20 visiteurs ou de 24 heures si j'ai de bons souvenirs. Par contre les ip de robots, spammeurs, hackers et personnes mal intentionnées restent dans une base MySQL pour un éventuel blocage..."

 

Sylvain


Ok @sylvainlelievre 

 

J'ai supprimé l'IP des journaux, y compris celui de la liste noire, de toute manière un  bon hacker utilise à minima un VPN.

 

La règle que j'appliquerai est simple, lorsqu'un compte n'est pas connu, on lui donne le nombre de tentatives, puis on le bloque avec le délais nécessaire afin de ne pas donner d'indice sur l'existence ou  non de ce compte. Pas besoin de l'IP.

 

Cette petite modification reste à faire, le commit de ce matin corrige deux ou trois bugs/ erreurs potentielles  et apporte quelques recommandations cosmétiques de @McGregor

  • Merci 1

Partager ce message


Lien à poster
Partager sur d’autres sites
Il y a 4 heures, Fred a dit :

Pas besoin de l'IP.

Finalement je la stockerai uniquement pour ce journal de connexion mais pas dans le journal d'utilisation.

Partager ce message


Lien à poster
Partager sur d’autres sites

Fred,

C'est la voie de la sagesse, il suffira de prévenir les membres que leur ip peut être utilisé pour vérifier le bon fonctionnement du site, un peu comme le cookie de session.

Nickel

  • J'aime 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Bonjour à tous,

 

La dernière mouture de cette version peut être testée (version 10.2.dev26), je n'y apporterai pas d'autres modifications en dehors des corrections et des ajustements nécessaires.

Liste des modifications, lire les messages précédents pour les détails.

 

- Mise à jour :
    - jQuery v3.5.1
- Nouveautés :
    - Gestion des accès concurrents :
        - deux utilisateurs ne peuvent accèder en modification à la même page du site ou de configuration
        - la connexion d'un utilisateur sur un autre poste ou navigateur déconnecte la session précédente.
        - sécurisation du login
        - journalisation de l'utilisation du site
- Modifications :
    - Thème, les sélecteurs de couleur affiche la valeur RGBa d'une couleur différente de celle de la sélection.
    - Thème de l'administration, amélioration du rendu.
    - Image tag :  adaptations suite à la modification de l'API Google.

 

ATTENTION A NE PAS INSTALLER CETTE VERSION EN PROD.

 

 

 

  • Merci 1

Partager ce message


Lien à poster
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.


×
×
  • Créer...