[Réglé] Une faille de sécurité ?

[jeremy]

Bonsoir,

Quelqu'un m'a envoyé le screenshot que j'ai joins à ce message.
Est ce que ça veut dire qu'il y a une faille de sécurité dans le forum ?

Pour le moment mon forum n'est pas accessible car j'ai fais une erreur en voulant bloquer toutes les IP le temps de trouver une solution.
Je suis en train de voir avec mon hébergeur mais dans le tchat il m'a déjà dit qu'ils peuvent m'aider à débloquer le truc.

Merci de votre aide^^

[exdiogene]

Non cette situation est tout à fait normale. Il est normal que toutes les informations transmises avec le protocole HTTP ne soient pas encodées, d'où la raison d'être de ce message d'avertissement.

Pour que toutes les informations sur le net soient encodées il faut utiliser le protocole HTTPS.

[jeremy]

Est ce que c'est l'hébergeur qui fais ça ou je peux y remédier moi même ?

[exdiogene]

Non, il suffit de faire si l'hébergeur le permet :
https://www.tarion.byethost31.com/forum/

au lieu de :
http://www.tarion.byethost31.com/forum/

Mais je vois que le site n'est plus en ligne et que l'on y voit que de la publicité...

[jeremy]

En effet, il a été désactivé pendant 24 heures par l'hébergeur car il a dépassé la limite de requêtes par jour (plus de 2000 ont été envoyées en 10 minutes).

Est il possible que le mot de passe soit envoyé par https et non par http ?
Cela enlèverait la faille de sécurité ...

[exdiogene]

Ceci n'est pas "une faille de sécurité", mais un comportement normal de toute application sur le net...

Non il n'est pas possible d'utiliser ce protocole uniquement pour l'envoi du mot de passe.

[jeremy]

Ah en faite on m'a expliqué que l'hébergeur ne fait pas de https pour l'hébergement gratuit ...
C'est assez problématique pour la sécurité du forum ...
De votre côté je suppose que vous ne pouvez rien faire ?

[Saphir]

Ce n'est pas problématique pour la sécurité du forum. La quasi totalité des forums du monde n'utilise pas le protocole https pour transmettre le mot de passe. À moins que vous ne gériez une banque ou un organisme financier, vous ne devriez pas avoir besoin d'utiliser le protocole https, le protocole http seul suffira amplement.

Il ne s'agit pas d'une faille de sécurité, mais d'un comportement normal, comme l'a dit exdiogene qui est un développeur plus que confirmé.

[jeremy]

Je vous fais confiance, vous savez ce que vous dites. J'ai un peu fais le tour d'autres forum et à part 2 sur plus de 30 ils étaient tous en http.

Espérons que ces ddos s'arrêteront sinon il faudra encore payer un hébergement avec protection contre le ddos ... c'est énervant sachant qu'il existe des hébergeurs gratuits de qualité ...
(Ce que j'ai pas dis car sans rapport avec mybb c'est que les requêtes envoyées par le logiciel ont mit mon site hors ligne et l'hébergeur a dit que si ça arrive trop souvent il sera obligé de supprimer mon compte pour que ça s'arrête)

J'espère que tout ça s'arrêtera et que je pourrais pleinement profiter de mon site et surtout du forum avec autant de choses paramétrables que c'est un jeu d'enfant de modifier plein de choses sans toucher au code.

Et au faite merci à tous ceux qui ont bossé sur le forum, c'est super bien fait et surtout sans bug (d'après ce que j'ai remarqué).

[spyto]

Il m'étonnerait que l'abus de requêtes provienne de MyBB lui-même (le script). Depuis le temps ça se saurait !

Par contre un plugin mal programmé peut être la source de failles ou de surcharge du serveur...

Quant aux attaques DDos, n'importe quel site, comportant ou non un forum MyBB peut en être la victime, Je ne comprendrai jamais ni l'intérêt ni le but de ce genre de comportement, mais le fait est qu'il existe des personnes malveillantes sur Internet, comme dans la vie réelle.

[jeremy]

Oui des gens se donnent du mal pour créer un site et d'autres trouvent rien d'autre à faire que d'envoyer des attaques ...
J'ai trouvé un hébergeur payant qui possède une protection contre tous les types d'attaques mais j'ai pas envie de payer alors qu'il existe des hébergeurs gratuits ...

Il n'y a pas de plug in du tout, j'ai programmé le site moi même. En faite c'est le logiciel qu'on voit sur le screenshot qui a envoie autant de requêtes.

Bon, le sujet initial de la discussion est terminé puisque je pensais qu'il y a un problème de sécurité avec le forum.

Merci à vous deux de m'avoir expliquer tout cela

Bonne journée

[Saphir]

Bonjour jeremy.

Votre requête a été marquée comme étant résolue.

Si vous avez de nouveau besoin de nos services, n'hésitez pas à ouvrir une nouvelle discussion dans nos forums de support.

Merci de l'intérêt que vous portez à MyBB !