Si vous utilisez les fichiers de configuration Apache .htaccess pour protéger l’accès à un répertoire, vous savez que votre fichier .htpasswd doit être composé de :

utilisateur:mot_de_passe_crypte

Sous Linux, il est possible d’obtenir la version cryptée de votre mot de passe via la commande htpasswd :

# htpasswd -n john
New password:
Re-type new password:
john:8LogwM1oTXRNk

Il vous reste à ajouter le couple utilisateur:mot de passe crypté dans votre fichier .htpasswd (john:8LogwM1oTXRNk dans notre cas) à l’aide d’un éditeur tel que vi ou nano.

Mais je trouve cela plutôt fastidieux et en cas d’erreur (espace superflu, faute de frappe, etc.) votre authentification ne fonctionnera pas.

Voici une astuce pour créer ou mettre à jour le mot de passe de l’utilisateur john dans le fichier .htaccess :

htpasswd .htpasswd john
New password:
Re-type new password:
Adding password for user john

Voici un exemple de contenu du fichier ainsi génré :

john:t.t.B0pmvefUA

Je vous rappelle toutefois que le mot de passe crypté est à chaque fois différent, même si vous entrez le même mot de passe. Apache lui le comprendra parfaitement. En outre, si deux utilisateurs ont le même mot de passe il est tout à fait normal que leurs valeurs respectives cryptées diffèrent.

En complément vous pouvez utiliser ce générateur de fichiers .htaccess en ligne.

Note : si votre fichier .htpasswd n’existe pas, utilisez l’option -c pour le créer : htpasswd -c .htpasswd john

Article original écrit par Mr Xhark publié sur Blogmotion le 26/03/2010 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Ce compte « ‘administrateur » n’apparaît pas non plus dans le panneau de configuration, il est masqué et donc non activable via ce biais.

Bien qu’il soit possible de créer d’autres comptes administrateurs, ils n’ont pas les mêmes droits que le compte « administrateur » qui est un super-utilisateur.

Quelques précisions

Si vous avez besoin d’utiliser ce compte pour effectuer une manipulation particulière sachez qu’il est dépourvu du système de contrôle utilisateur (UAC). A manipuler avec des pincettes, au même titre que le compte root sous Linux/GNU.

Quelques précisions du très réputé JC. Bellamy  :

1. Ce compte est indestructible
2. Ce compte est utilisé dans la console de récupération sous Windows 2000, Windows XP et Windows 2003
3. A partir de Vista, ce compte n’est pas soumis, par DÉFAUT, aux demandes d’élévation de privilèges de l’UAC
4. Sur Xp Home lancé en mode sans échec, il rétablit l’onglet de sécurité

Le fait de désactiver ce compte est une mesure de sécurité indispensable pour protéger votre ordinateur d’actions dangereuses mais également des programmes nuisibles (virus, spyware et malware de façon générale). Je vous déconseille fortement de laisser ce compte activé en entreprise mais également à titre particulier, qui plus est si votre PC n’est pas « clean » (mises à jour, antivirus, exécutables douteux, etc.).

Deux solutions s’offrent à vous pour activer ce compte administrateur (ou « administrator » sur les versions US/UK).

ENA : Activation rapide et simple

ENableAdmin (ENA) est un utilitaire gratuit développé par Aski destiné à « activer » ou « désactiver » le compte Administrateur sur Windows XP, Windows Vista et Windows 7.

Suivant la version de Windows la méthode à utiliser pour activer ou désactiver le compte « administrateur » est différente. ENA a été conçu pour simplifier cette commande. Un seul clic suffit :

ENA doit etre exécuté en tant qu’administrateur (clic droit > exécuter en tant qu’administrateur), si ce n’est pas le cas il vous le dira.

Note : il se peut que votre antivirus se manifeste, ignorez-le.

Télécharger ENA

En ligne de commande

Il est également possible d’activer le compte administrateur depuis l’invite de commande, façon oldschool.

1. Menu démarrer, entrer « cmd » puis clic droit > Exécuter en tant qu’administrateur :
   
2. Entrer :

   net user administrateur /active:yes

   Vous devriez obtenir le résultat suivant :

   

3. Déconnectez-vous et vous pourrez utiliser le compte administrateur (aucun mot de passe).

Pour désactiver le compte administrateur utilisez la commande inverse :

net user administrateur /active:no

Note : si la commande refuse de s’exécuter, assurez-vous d’avoir lancé l’invite en tant qu’administrateur et vérifiez le nom du compte administrateur via la commande « net use » qui liste tous utilisateurs du système.

Conclusion

Une fois activé, le compte administrateur n’a aucun mot de passe de prédéfini. Par pitié, désactivez le compte une fois que vous n’en avez plus besoin, ou définissez à minima un mot de passe complexe.

Laisser un compte administrateur sans mot de passe revient à utiliser une porte battante comme porte d’entrée chez vous ! C’est absurde et dangereux.

Article original écrit par Mr Xhark publié sur Blogmotion le 21/03/2010 | 4 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Il s’agit du HotFix KB976002. Les sytèmes Windows concernés sont les suivants :

• Windows XP Service Pack 2 et 3
• Toutes les éditions de Windows Vista
• Toutes les éditions de Windows 7
• Les versions futures du système d’exploitation de Windows publiées pendant la période de l’accord passé avec la Commission européenne

Une page dédiée vous propose d’installer d’autres navigateurs que Internet Explorer. L’ordre d’affichage des navigateurs est supposé aléatoire, avec toutefois les 5 premiers navigateurs en terme de part des marché (il faudra scroller pour voir les autres) :

Le bouton Installer en dessous de chaque navigateur pointe chez Microsoft qui redirige directement vers l’exécutable du navigateur en question.

Reste à savoir si l’ordre d’affichage de ces navigateur est vraiment aléatoire ?

Article original écrit par Mr Xhark publié sur Blogmotion le 03/03/2010 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Essayer la démo.

Seule la partie de nommage sera abordée, la partie de traitement du formulaire ne fait pas partie de l’objet de ce billet.

Que vos utilisateurs soient gérés depuis un serveur LDAP Linux ou depuis un serveur Windows avec Active Directory (qui de toutes façons cache un serveur LDAP), vous devez adopter un nommage strict pour la définition des identifiants et adresses emails des utilisateurs de l’entreprise.

En effet, il n’y a rien de plus ennervant que de constater que certains identifiants (login) sont créés sur la base de prenom.nom puis d’autres sous p.nom ou encore pnom. Tout système informatique se doit d’être organisé et cohérent.

Dans mon cas, les utilisateurs sont crées sur un serveur LDAP au moyen d’une page intranet sécurisée derrière laquelle se trouve un script PHP. Ce n’est pas la partie PHP qui nous intéresse mais le nommage automatique en fonction des noms et prénoms.

Voici tout de même un exemple si vous êtes également intéressé par la partie PHP.

Contexte de nommage

Voici les règles de nommage utilisées dans mon cas :

• Email : prenom.nom@monentreprise.fr
• Identifiant : pnom

Ainsi, l’utilisateur Michael Hurni (décidément il est partout) disposera de l’adresse email : michael.hurni@blogmotion.fr et son identifiant de connexion (LDAP/AD) sera : « mhurni« .

Dans le cas d’un prénom et / ou d’un nom composé, chaque première lettre des prénoms est sélectionnées puis toutes les parties du nom sont collées. Ainsi pour Jean-Marc De La Mort :

• Email : jean-marc.delamort@blogmotion.fr
• Identifiant : jmdelamort

Le formulaire

Le formulaire génère en même temps que la frappe (souvent appelé à tord ajax) et de façon automatique les champs email et identifiant, et ce dès lors qu’une première lettre du nom est entrée.

Une liste d’opération est effectuée par jQuery :

1. Suppression des accents (n’hésitez pas à compléter la liste s’il en manque)
2. Passer en minuscule tout ce qui est en majuscule
3. Suppressions des espaces et tirets

Pour vous faire une idée du fonctionnement, essayez la démonstration.

Bien que la génération de l’email (comprendre la syntaxe) et de l’identifiant soient autonomes, il est cependant tout à faire possible de saisir ou de modifier ces valeurs manuellement. Cette possibilité permet la création de nom d’utilisateur générique ou temporaire (je préfère le terme temporaire pour des questions de sécurité).

Les sources

Je diffuse ce formulaire sous licence Creative Commons, comme tous les billets du blog. Vous pouvez biensûr librement le modifier en respectant les conditions associées.

Télécharger les sources (.zip)

Ce script est fourni à titre informatif, il vous faudra probablement l’adapter à votre infrastructure mais également le mettre en phase avec le contexte de nommage de vos utilisateurs.

Toute amélioration, correction , suggestion ou feedback sont les bienvenus.

Article original écrit par Mr Xhark publié sur Blogmotion le 17/12/2009 | 3 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Par mesure de sécurité il est fortement conseillé d’exécuter ces crons sous un autre utilisateur que root. Dans le cas où vous faites de la maintenance sur des serveurs ne vous appartenant pas, cela devient vite un casse tête de trouver quel utilisateur exécute ces tâches ?

A titre de rappel, la commande pour lister les cron job de l’utilisateur courant :

# crontab -l

Pour lister les cron job d’un autre utilisateur que l’utilisateur courant :

# crontab -u nom_utilisateur -l

A condition toutefois d’avoir les droits de lecture sur le fichier, ce qui peut ne pas être le cas pour tous les utilisateurs.

Je vous propose de lister les tâches de tous les utilisateurs (listés dans /etc/passwd). Définissons un alias depuis l’utilisateur root :

# alias cronall='for user in $(cut -f1 -d: /etc/passwd); do echo -e "\n\n==> $user:" && crontab -u $user -l; done'

Il vous suffit ensuite de faire appel à cronall :

# cronall

==> root:
# m h  dom mon dow   command
30 23 * * * df >> test_blogmotion.fr

==> daemon:
no crontab for daemon

==> bin:
no crontab for bin

==> sys:
no crontab for sys

==> sync:
no crontab for sync

==> mail:
no crontab for mail

==> www-data:
no crontab for www-data

==> backup:
no crontab for backup

Les tâches sont listées par utilisateur, plutôt pratique. Dans mon cas, seul l’utilisateur root possédait un cron job.

Attention : ce script ne fonctionne pas sur les crons périodiques (cron.daily, cron.weekly, etc.) qui sont dans des répertoires distincts et non liés à un utilisateur mais au système. Pour lister ces crons une commande simple suffira pour trouver ce que vous cherchez :

cat /etc/cron.d/* | grep "votre recherche"

De même que pour lister tous les scripts (sans le contenu) :

ls -al /etc/cron.*

Source d’inspiration du premier script

Article original écrit par Mr Xhark publié sur Blogmotion le 13/11/2009 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Voici un premier billet d’une longue série dans laquelle j’aborderai différentes techniques et méthodes de sécurité qui vous permettront de limiter les dégâts pour de prochaines éventuelles failles.

Après la faille XSS 0day qui permettait de rediriger le visiteur grâce à du code héxa en commentaire vers un site de phishing (>= v2.8.1 explication ici) puis la faille de réinitialisation du mot de passe des comptes dont le login est connu (>= 2.8.2 explication ici), dites-vous que ces découvertes ne sont pas les dernières.

Pourquoi ces modifications ?

WordPress est l’un des CMS les plus répandu. Plus votre configuration sera exotique, plus vous passerez à travers les balles de vilains pirates.

Note : je vais employer à plusieurs reprises le mot « pirate » dans cette série. Comprenez qu’un pirate (pour mon billet) est une personne tierce malveillante non autorisée à gérer votre blog.

Supprimer l’utilisateur « admin »

A chaque installation de WordPress est associé un utilisateur « admin« . C’est  précisément à cause de cet utilisateur que certains blogueurs ont reçu par email un nouveau mot de passe dans la dernière faille en date.

L’administration de votre blog est protégée par deux champs : l’identifiant et le mot de passe. En laissant l’identifiant « admin » dans votre liste d’utilisateur vous ne laissez plus que le mot de passe à deviner aux pirates.

Il convient donc de supprimer totalement l’utilisateur pour éviter d’éventuelles intrusions :

1. Se connecter avec l’utilisateur « admin » et créer un nouvel utilisateur (Utilisateurs > Ajouter) avec un identifiant peu commun et le placer comme « administrateur » :

   

   Prenez soin de décocher « Envoi ce mot de passe au nouvel utilisateur par e-mail. » pour éviter qu’un pirate ayant accès à votre boite email puisse le récupérer.

2. Se déconnecter de l’administration du blog (en haut à droite).
3. Se connecter avec le nouvel utilisateur (« totoadmin » pour mon cas).
4. Cliquer sur « Utilisateurs« , puis « Supprimer » dessous le compte « admin ». Attention à bien sélectionner « Attribuer tous les articles et les liens à : totoadmin » (sinon vous perdrez tous vos billets !):
   
5. Se déconnecter
6. Se connecter à nouveau avec l’utilisateur nouvellement crée pour vérifier les droits
7. C’est fini !

Il utilise d’autres méthodes pour réaliser l’opération en modifiant directement la base de donnée via phpMyAdmin par exemple, mais je vous recommande fortement d’utiliser celle présentée ici puisqu’elle est nativement prévue dans WordPress, qui plus est si vous n’êtes pas expert en base de données.

• Prochaine étape : protection du fichier wp-config.php

Article original écrit par Mr Xhark publié sur Blogmotion le 12/08/2009 | 11 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

On peut imaginer de nombreuses applications dans des applications de type web-service : détection que la langue de l’utilisateur indépendamment de sa géolocalisation et de la langue du navigateur/OS, traduction automatique de message en langue étrangère vers la langue natale de l’utilisateur, etc.

Je vous invite à essayer la version démo lire la documentation de l’API ainsi que cet article à ce sujet.

Article original écrit par Mr Xhark publié sur Blogmotion le 23/07/2009 | 2 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Avant de lancer cette opération, il est nécessaire de copier sur un support amovible ou sur une partition vos données. Bien qu’elles soient importantes, il existe également des paramètres et/ou fichiers de diverses applications qu’il est intéressant (voir nécessaire) de préserver.

Je vous partage aujourd’hui ma liste personnelle (concerne Windows XP), à consulter donc avant toute réinstallation :

• WAMP/EASYPHP (serveur web)
  • répertoire « www », fichiers de configuration
  • PhpMyAdmin : export des bases de données (éventuellement via ligne de commande)
• Mozilla Firefox
  • export de la totalité du profil via l’extension FEBE
  • export des préférences des thèmes et extensions via l’extension OPIE
  • backup manuel du répertoire de stockage du profil (C:\Document and Settings\votre_utilisateur\Local Settings\Application Data\Mozilla\Firefox\Profiles)
  • export des bookmarks au format HTML
  • export des bookmarks au format JSON (on n’est jamais trop prudent)
• Machines virtuelles (VirtualBox, VMWare)
• Sauvegardez vos email si vous utilisez un client « lourd »
  • Thunderbird : sauvegarde de votre profil avec MozBackup
  • Outlook : pensez à sauvegarder tous vos .pst (personnellement j’utilisais le logiciel payant e-Backup [le site Inachis du créateur ne semble plus exister..], mais vous pouvez toujours migrer vers Thunderbird avant de réinstaller, et donc faire une sauvegarde avec MozBackup )
• Copier le dossier C:\Documents and Settings\votre_utilisateur\Menu Démarrer + celui de « all users »
• Copier le dossier C:\Documents and Settings\votre_utilisateur\Local Settings\Application Data
• Copier le dossier C:\Documents and Settings\votre_utilisateur\Bureau + celui de « all users »
• Copier le dossier C:\Documents and Settings\votre_utilisateur\Mes Documents
• Copier le dossier C:\Documents and settings\votre_utilisateur\ (éventuels fichiers de configs, paramètres PuTTY
• Paramètres prédéfinis Photshop : Dégradés, Brushes, styles, etc. dans le dossier C:\Program Files\Adobe\Adobe Photoshop CSx\Paramètres prédéfinis
• FileZilla (C:\Documents and Settings\votre_utilisateur\Application Data\FileZilla) + registre si vous avez choisi le registre comme lieu de stockage de vos profils de connexion
• « Envoyer vers… » si vous l’avez personnalisé (C:\Documents and Settings\votre_utilisateur\SendTo)
• Vos fonds d’écran (C:\WINDOWS\Web\Wallpaper)
• Vos thèmes Windows (C:\WINDOWS\Resources\Themes) + .theme personnalisé s’il est ailleurs
• to be continued… j’ajouterai au fil du temps les oublis qui me reviendront

Note : cette liste est globalement également valable sous Windows Vista, il vous suffit (dans la majorité des cas) de remplacer le chemin : « C:\Documents and settings\ » par « C:\Users\ »

Si certaines de vos applications nécessitant une sauvegarde de fichiers et/ou paramètres ne sont pas listées ici n’hésitez pas à le signaler dans les commentaires

En complément, je vous invite à lire en complément 7 trucs à faire avant de de reformarter chez Maigretsblog.

Article original écrit par Mr Xhark publié sur Blogmotion le 13/12/2008 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Au cas où vous seriez un geek ultime (n’aura pas ce qualificatif qui veut!), je vous propose de découvrir PEBKAC. C’est exactement le même principe mais cette fois ci orienté informatique, Geek et High Tech

Le nom du site signifie tout simplement : Problem Exists Between Keyboard And Chair (pour les non anglophobes : « le problème se situe entre la chaise et le clavier »). Outre ce nom de site explicite, je peux vous confirmer par expérience que la majorité des soucis informatiques se situent bel et bien au niveau de l’utilisateur. Ça vous fera peut-être rire, mais c’est pourtant tellement vrai !

Les slogans du site sont : « Shell is better than disco », « Fight against dumb users » ou encore « Admins are always alcoholfree », ça vous annonce la couleur.

Un petit exemple pour la route :

Une collègue m'a demandé un jour :
"Comment faire pour se créer une adresse mail chez Outlook ?"... PEBKAC.

N’ayons pas peur des mots : sur PEBKAC on se moque (gentiment) des utilisateurs (n00b dans le vocabulaire du geek). N’hésitez pas à donner votre avis pour faire monter les meilleurs anecdotes

Je ne sais pas depuis combien de temps le site existe (si le créateur passe par là qu’il se manifeste via les commentaires) mais je pense qu’il va très vite devenir aussi incontournable que BashFR, pensez donc à suivre le flux RSS.

Faites un break, allez sur PEBKAC

Article original écrit par Mr Xhark publié sur Blogmotion le 13/11/2008 | 5 commentaires |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons