#1 2010-03-26 10:34:59

Maxou88100
Membre
2010-03-26
3

Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Bonjour,

C'est mon premier message sur le forum et je vais commencé avec un problème qui me turlupine :( J'ai vue un sujet similaire mais ça ne répondait pas à ma question !


En fait, pour vous expliquer la situation, j'ai deux sites web et j'aimerais faire une connexion commune entre les deux sites ! J'utilise les célèbres variables de session. Donc en gros j'aimerais passer mes variables d'un domaine à un autre, ce qui parait difficile :p

Sauf, si j'utilise allow_url_include pour inclure une page de mon site B sur mon site A. Le problème est que ça à l'air dangereux de le mettre sur ON vue qu'il est possible pour un méchant pirate d'inclure son script à la place de ma page. Ce que j'aimerais savoir c'est si le problème est le même si je ne change pas d'hébergeur d'un site à l'autre... J'ai fait beaucoup de forum pour essayer de comprendre comment il est possible pour un pirate de faire cela mais j'ai pas trouvé de réponse :( Y a t-il un réel danger avec l'utilisation de allow_url_include ?


Merci d'avance pour vos réponses

Hors ligne

#2 2010-03-26 11:08:58

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Maxou88100 a écrit:

Y a t-il un réel danger avec l'utilisation de allow_url_include ?

Bonjour,

Tu donnes toi même le bâton pour te faire battre lol
Si tu aimes le risque et que tu es conscient du danger que tu vas faire courir alors ne pose pas la question.
Maintenant je ne suis pas technicien, donc attendons un avis plus expert...


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#3 2010-03-26 11:30:01

Maxou88100
Membre
2010-03-26
3

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Oui je connais le danger, mais pas suffisamment je pense.

Hors ligne

#4 2010-03-26 11:38:31

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Le problème n'est pas de connaître ou non à quoi on s'expose mais de savoir pourquoi on s'expose.

Donc les vraies questions sont:
- Pourquoi faire ?
- Quel est le besoin ?
- Que produit le script ?
- Que veux-tu récupérer ?
- Récupérer des résultats pour en faire quoi ?
- A qui appartient le script que tu voudrais inclure ?
- Qui en détient le contrôle ?

(La solution pourra alors être différente d'un include d'une url externe).

Exemples: La connexion, les flux RSS, ...


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#5 2010-03-26 11:38:47

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Ma question : quel rapport avec Piwigo ?


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#6 2010-03-26 11:43:47

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

nicolas a écrit:

Ma question : quel rapport avec Piwigo ?

Divers et Hors-sujet (titre du forum): Donc tu as raison, mais l'endroit est accepté.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#7 2010-03-26 11:52:58

Maxou88100
Membre
2010-03-26
3

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

- Quel est le besoin ?
Comme je l'ai (mal) expliqué plus haut, le but serait simplement de récupérer les variables de sessions d'un site à l'autre

- Que produit le script ?
Le script est simplement une page de l'autre site. Logiquement, les variables de session seront chargées. Il faudra juste rajouter un session_start()

- Que veux-tu récupérer ?
Les variables de session

- Récupérer des résultats pour en faire quoi ?
Rien, je veux juste les réutilisé pour que l'utilisateur reste connecté

- A qui appartient le script que tu voudrais inclure ?
A moi

- Qui en détient le contrôle ?
Moi



Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(

Hors ligne

#8 2010-03-26 12:49:18

nicolas
Former Piwigo Team
2004-12-30
1565

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Maxou88100 a écrit:

Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(

J'ai mal formulé ma remarque. J'aurais dû écrire "Y a-t-il un rapport avec Piwigo ? " Je voulais savoir cela pour savoir si les sites externes (cf admin) ou une authentification externe pouvait éventuellement répondre à ton besoin.

Sinon tu as évidemment parfaitement besoin de poser ta question mais étant donné que tu la poses sur le forum de piwigo et pas sur un forum php je me posais la question du choix  du lieu.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#9 2010-03-26 14:21:43

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p

Maxou88100 a écrit:

- Quel est le besoin ?
Comme je l'ai (mal) expliqué plus haut, le but serait simplement de récupérer les variables de sessions d'un site à l'autre

- Que produit le script ?
Le script est simplement une page de l'autre site. Logiquement, les variables de session seront chargées. Il faudra juste rajouter un session_start()

- Que veux-tu récupérer ?
Les variables de session

C'est raté, les variables de session (en tant que variables de session ne seront pas atteignables).
Maintenant il est possible de les récupérer via un file_get_contents si le script externe te retourne quelques éléments à minima.

Maxou88100 a écrit:

- Récupérer des résultats pour en faire quoi ?
Rien, je veux juste les réutilisé pour que l'utilisateur reste connecté

- A qui appartient le script que tu voudrais inclure ?
A moi

- Qui en détient le contrôle ?
Moi



Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(

C'est ton droit, c'est ainsi que j'avais compris la question.
N'ai-je pas écrit "Exemples: La connexion, les flux RSS, ...".
un plugin qui récupère les informations de connexion "à minima" pour assurer une reconnexion sur le site où se trouve Piwigo.
Cependant, dans cet exemple, il s'agit de solliciter un script de l'autre site pour vérifier le couple user/password. Je ne connais pas à ce jour de plugin qui permettrait d'ouvrir une session sur le site externe, puis rerevenir sur le site de départ pour ouvrir une autre session avec des éléments de la première session.
Cela est plus compliqué si tu t'y connais assez en php nous pourrons t'aider.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact