WampServer

Apache, PHP, MySQL on Windows 

 
  • Accueil forum
  • Retour à WampServer
  • presentation
  • Download
  • Addons
  • Formations
  • Alter Way

 
Voir le sujet: Précédent•Suivant
Aller à : Liste des Forums•Liste des messages•Nouvelle discussion•Recherche•Connexion•Imprimer la vue
TrustSight Security Hardening Tool
Envoyé par: sbourdon (---.vc.shawcable.net)
Date: 06 November 2004 à 16:36

Bonjour,

J'ai découvert ce petit gratuiciel et voici le rapport qui s'affiche suite à son inspection du fichier httpd.conf de WAMPServer:

-----
TrustSight Security Hardening Tool - Session Details
Paranoid Mode: No


9 recommendation(s)

mod_autoindex.c module
Line: 215
We recommend to disable the mod_autoindex module. This module enables automatic directory indexing.


mod_cgi.c module
Line: 218
Unless absolutely necessary, disable PHP, CGI, SSI and other scripting languages.


mod_php module
Line: 240
Unless absolutely necessary, disable PHP, CGI, SSI and other scripting languages.


php extension
Line: 240
We recommend to add the following line to the Apache configuration file: AddType application/x-httpd-php .inc


php extension
Line: 240
We recommend to add the following line to the Apache configuration file: AddType application/x-httpd-php .class


ServerTokens directive

ServerTokens directive not found. This item is necessary to modify the Apache HTTP response token. You should add ServerTokens ProductOnly. After this change, Apache doesn't disclose information about its version.


ServerSignature directive
Line: 526
It is recommended to modify the ServerSignature directive to ServerSignature Off


Group directive

Group directive not found. See the Apache documentation for details on enabling this directive.
-----

Comme j'ai grandement confiance en vos conseils (particulièrement Bistory et Viper), je ne ferai aucune modification au fichier sans vos impressions d'abord...

Alors, que pensez-vous de ces recommendations? Sont-elles valables et nécessaires?


Merci de votre support!

P.S.: Vous pouvez télécharger ce logiciel à l'adresse suivante: www.syhunt.com, ou sur Webattack.com

Options: Répondre•Citer ce Message
Re: TrustSight Security Hardening Tool
Envoyé par: Viper (---.adsl.proxad.net)
Date: 06 November 2004 à 17:10

héhéhéhé !! lol, merci pour ta confiance smiling smiley

Donc alors, le fou parano c'est Bistory hein winking smiley Et moi je suis le fou inconscient ! ... Tu risques d'avoir deux avis très opposés smiling smiley

Déjà, le "mod_autoindex", mwé, tu peux le désactiver si tu veux. Ca évite bin le listing du contenu d'un dossier, comme c'est expliqué smiling smiley Donc pourquoi pas !

Les deux suivants "mod_cgi" et "mod_php", faut surtout pas les désactiver, sans ça plus de php !! Ca serait dommage smiling smiley

Ensuite, pour ce qui est des extensions php "class" et "inc" je vois pas bien l'intérêt... C'est jamais de la vie du php ! Donc non, on laisse.

Et le reste, pareil, tu peux laisser... Donc en bref, y'a que "mod_autoindex" qui peut t'être utile de désactiver, si tu veux qu'on ne puisse pas voir le contenu d'un dossier du style : [atviper.free.fr]
Sinon, si tu veux juste empêcher ce genre de listing sur des dossiers précis, tu mets un "index.html" vierge dans le dossier, et ça affichera donc une page vierge ! Bien fait smiling smiley Pour le reste des dossiers ça continuera à faire le listing.

Options: Répondre•Citer ce Message
Re: TrustSight Security Hardening Tool
Envoyé par: sbourdon (---.vc.shawcable.net)
Date: 06 November 2004 à 17:49

Concernant mod_autoindex, cela ne revient-il pas au même que cette modification que j'ai déjà effectuée dans ce fichier: Option -Indexes ?

Et que penser de: It is recommended to modify the ServerSignature directive to ServerSignature Off? Cela ne concerne-t-il que l'affichage de la version de Apache sur le serveur? Je pourrais donc mettre cela à Off sans risquer de perturber quoi que ce soit, vrai?


Merci à tous!

Options: Répondre•Citer ce Message
Re: TrustSight Security Hardening Tool
Envoyé par: Viper (---.adsl.proxad.net)
Date: 06 November 2004 à 18:08

Pour le mod_autoindex, en effet, ça doit revenir au même, donc tu as déjà bon smiling smiley

Et puis pour le "ServerSignature", à priori c'est bien ce que tu as dit. Donc tu peux le désactiver oui, mais au niveau sécurité je ne vois pas bien ce que ça change, à part donner un peu moins d'informations... Donc bof ! A "On" ou "Off", les gens s'en foutent je crois winking smiley

Options: Répondre•Citer ce Message
Re: TrustSight Security Hardening Tool
Envoyé par: Bistory (---.242.81.adsl.skynet.be)
Date: 07 November 2004 à 12:19

Bah c'est comme expose_php dans le php.ini, ça ne sert qu'aux hackers grinning smiley
Merci pour le prog, ça va nous servir pour EasyTools winking smiley

Options: Répondre•Citer ce Message
Re: TrustSight Security Hardening Tool
Envoyé par: sbourdon (---.vc.shawcable.net)
Date: 07 November 2004 à 16:56

Bien heureux d'apprendre que ce logiciel pourra vous être utile!

Avec toute l'aide que vous m'avez apportée, ça fait plaisir de constater que pour une fois, je vous aurai peut-être aidé (indirectement!) à mon tour! ;-)

P.S.: Avez -vous une petite idée de l'origine du message d'erreur que je reçois avec ZendOptimizer, tel qu'expliqué dans mon message intitulé: Zend optimizer?

Options: Répondre•Citer ce Message


Aller à : Liste des Forums•Liste des messages•Recherche•Connexion
Désolé, seuls les utilisateurs connectés peuvent envoyer des messages dans ce forum.
Cliquer ici pour se connecter

design by jidePowered by Alter Way get firefoxget PHP