Vous n'êtes pas identifié(e).
- Discussions : Actives | Sans réponse
Annonce
Pensez d'abord à lire la FAQ, vous y trouverez probablement une solution à votre problème.
#1 03-03-2025 13:22:49
Double identification pour le super administrateur
Bonjour,
Il serait peut-être interessant de mettre en place une double identification par mail
pour ceux qui le souhaiteraient par exemple et aussi pour les comptes utilisateurs
de la galerie.
J'ai subi quelques attaques en régle avec une double identification ça se calme assez
rapidement.
Bien cordialement.
GGA.
Dernière modification par gilisa (03-03-2025 21:59:21)
Hors ligne
#2 16-03-2025 16:21:41
Re : Double identification pour le super administrateur
Pourquoi pas. C'est dans l'air du temps et c'est effectivement une bonne protection.
Encore merci pour cette galerie de photos que j'utilise depuis des années (je tenais à le dire, et je ne savais pas trop où le noter...) ;-)
Hors ligne
#3 16-03-2025 19:31:58
Re : Double identification pour le super administrateur
Salut,
Il est possible d'utiliser une double authentification pour les administrateurs, non pas par courriel mais par adresse IP, comme décrit dans la documentation.
Lorsque c'est possible (seulement avec une adresse IP fixe), cette solution est plus sécurisée qu'une vérification par courriel, car l'adresse IP est vérifiée à chaque requête, et non seulement lors de la connexion à l'interface d'administration.
Même avec une double authentification par courriel, un attaquant pourra tout de même entrer dans l'interface d'administration s'il parvient à voler l'identifiant de session de sa victime (stocké dans un cookie du navigateur). Alors que cela sera impossible avec une vérification permanente de l'adresse IP, car l'adresse IP est vérifiée à chaque action que l'on effectue (chargement d'une page ou envoi de formulaire).
Un autre avantage de cette méthode est qu'elle est moins contraignante puisqu'elle ne nécessite pas d'utiliser un code reçu par courriel chaque fois que l'on se connecte. Sans compter qu'un courriel n'est pas du tout sécurisé car il voyage en clair sur Internet et qu'il peut donc être lui aussi intercepté par un attaquant.
Enfin, une vérification par courriel pose le problème de la fiabilité de l'envoi (et de la réception) du courriel, lequel peut être bloqué par l'hébergeur à cause d'un problème quelconque. Et dans ce cas de figure, un utilisateur légitime ne pourra tout simplement pas se connecter à son compte...
Hors ligne
#4 16-03-2025 21:11:58
Re : Double identification pour le super administrateur
Bonjour,
le spoofing de l'adresse Ip est possible, et il faut aussi se trouver sur un lien qui
possède une ip fixe, et comme il commence à manquer d'adresse IP V4 beaucoup
de FAI avec les box sont en adresse dynamque.
Autrement je pense aussi à Google Authenticator.
https://play.google.com/store/apps/deta … l=fr&pli=1
Cordialement.
GGA.
Hors ligne
#5 17-03-2025 15:01:39
Re : Double identification pour le super administrateur
le spoofing de l'adresse Ip est possible
Non. Le protocole TCP inclus un mécanisme appelé "three ways handshake" qui fait qu'il est (quasiment) impossible d'usurper l'adresse IP de quelqu'un d'autre pour se connecter à un serveur Web.
Autrement je pense aussi à Google Authenticator.
C'est Google et c'est un système propriétaire, alors non merci ! Il existe une alternative libre qui s'appelle FreeOTP, mais ça reste un système trop lourd et complexe à mettre en œuvre pour une application portable comme iGalerie.
iGalerie possède déjà des protections efficaces contre les accès non autorisés. Pour l'utilisateur, la principale mesure reste le mot de passe. Dès lors que l'on utilise un mot de passe fort, c'est à dire suffisamment long et généré de manière aléatoire avec un grand nombre de caractères différents, alors le risque qu'un attaquant accède à un compte ou à une catégorie protégée par mot de passe est extrêmement faible (le risque zéro n'existe pas).
Parmi les protections mises en place dans iGalerie, il y a notamment la prévention des attaques par force brute. C'est à dire qu'un utilisateur ne peut effectuer qu'un nombre limité de tentatives de connexions par jour et par adresse IP. Ce nombre est défini dans le paramètre de configuration CONF_BRUTE_FORCE_MAX_ATTEMPT. Ce à quoi on peut ajouter la possibilité de changer le nom du répertoire "admin" et la vérification de l'adresse IP évoquée précédemment.
Et enfin, une mesure indispensable pour sécuriser son site mais qui ne concerne pas iGalerie est l'utilisation du protocole HTTPS. Malheureusement, il existe encore des sites qui ne l'utilisent pas, n'est-ce pas gilisa 
Hors ligne
#6 17-03-2025 20:11:02
Re : Double identification pour le super administrateur
Et enfin, une mesure indispensable pour sécuriser son site mais qui ne concerne pas iGalerie est l'utilisation du protocole HTTPS. Malheureusement, il existe encore des sites qui ne l'utilisent pas, n'est-ce pas gilisa
Chez des clients j'ai mis en place quelques NAS pour échange de données entre employés lourdes et confidentielles
en HTTPS et malheureusement depuis quelques temps on voit apparaitre de belles attaques qui n'aboutissent pas encore mais je pense que ...
Mais tant que c'est des photos et pas de données sensibles, ce n'est pas très grave.
Hors ligne