» cFos Personal Net documentation, Conseils de sécurité

Quelques astuces de sécurité

La solution la plus simple est d'utiliser cFos PNet avec un seul utilisateur. Pour améliorer la sécurité, vous pouvez créer un compte utilisateur limité et lancer cFos PNet en tant qu'utilisateur limité. Avant de proposer des services publics, vous devrez limiter l'accès de vos Disques et fichiers (depuis les réglages de sécurité de Windows), afin que les utilisateurs utilisant cFos PNet aient uniquement accès à leurs dossiers privés ou publics.

Vous pouvez aussi autoriser à différents utilisateurs l'accès à l'arborescence des dossiers de cFos PNet. En réglant les autorisations Utilisateur dans .htaccess, vous sélectionnez quel utilisateur est utilisé quant il se sert du dossier correspondant. Javascript execution is also done under this user impersonation. Use the Windows security setup to restrict access for each user only to the files and folders that user needs. It is, for example, possible to include arbitrary include files using the server side include (SSI) mechanism. To allow a certain user only access to his/her files, you need to restrict his/her access to his/her folders only.

N'utilisez pas les données client ininterprétés. Par exemple, si votre pages Internet permet une entrée d'utilisateur qui est affichée en HTML, vous voudrez peut-être nettoyer la première entrée pour éviter que les balises <script> ou <iframe>, etc. soient incluses dans les pages de sortie. Autrement, toutes sortes d'attaques dynamiques (cross-sites) possibles.

Les noms de fichiers doivent toujours être vérifiés, afin que l'acces soit restreint au dossiers publics de cFos PNet's seulement. Vous pouvez utiliser les fonctions filename_ok et absolute_filename prévues à cet effet. Par exemple un attaquant pourrait essyaer d'utiliser les noms de fichiers comme ceci: "..\..\..\windows\..." pour rendre vos scripts accessibles au repertoire the Windows, à la place de répertoire public.

La meilleur méthode consiste a tout exécuter sous un utilisateur limité et restreindre l'accès uniquement au fichier de cFos PNet.

cFos Personal Net documentation

Basé et propulsé par cFos Personal Net Web Server
Practice random kindness and senseless acts of beauty