🌍
Français
Piwigo.org
Annonce
- [2024-11-11] Piwigo 15.1.0 : petites correction et infos sur les nouveautés
- [2024-10-22] Piwigo 15
- [2024-09-25] Piwigo 15.0.0RC1, on est proche du but
- [2024-09-11] Piwigo 15.0.0beta3
- [2024-08-01] Piwigo 15.0.0beta2
Pages: 1
- » Divers et Hors-sujet
- » Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
#1 2010-03-26 10:34:59
- Maxou88100
- Membre
- 2010-03-26
- 3
Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Bonjour,
C'est mon premier message sur le forum et je vais commencé avec un problème qui me turlupine :( J'ai vue un sujet similaire mais ça ne répondait pas à ma question !
En fait, pour vous expliquer la situation, j'ai deux sites web et j'aimerais faire une connexion commune entre les deux sites ! J'utilise les célèbres variables de session. Donc en gros j'aimerais passer mes variables d'un domaine à un autre, ce qui parait difficile :p
Sauf, si j'utilise allow_url_include pour inclure une page de mon site B sur mon site A. Le problème est que ça à l'air dangereux de le mettre sur ON vue qu'il est possible pour un méchant pirate d'inclure son script à la place de ma page. Ce que j'aimerais savoir c'est si le problème est le même si je ne change pas d'hébergeur d'un site à l'autre... J'ai fait beaucoup de forum pour essayer de comprendre comment il est possible pour un pirate de faire cela mais j'ai pas trouvé de réponse :( Y a t-il un réel danger avec l'utilisation de allow_url_include ?
Merci d'avance pour vos réponses
Hors ligne
#2 2010-03-26 11:08:58
- Gotcha
- Ex Equipe Piwigo
- Pierrelatte (26)
- 2007-03-14
- 13331
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Maxou88100 a écrit:
Y a t-il un réel danger avec l'utilisation de allow_url_include ?
Bonjour,
Tu donnes toi même le bâton pour te faire battre lol
Si tu aimes le risque et que tu es conscient du danger que tu vas faire courir alors ne pose pas la question.
Maintenant je ne suis pas technicien, donc attendons un avis plus expert...
Hors ligne
#3 2010-03-26 11:30:01
- Maxou88100
- Membre
- 2010-03-26
- 3
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Oui je connais le danger, mais pas suffisamment je pense.
Hors ligne
#4 2010-03-26 11:38:31
- VDigital
- Former Piwigo Team
- Montpellier (FR)
- 2005-05-04
- 15127
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Le problème n'est pas de connaître ou non à quoi on s'expose mais de savoir pourquoi on s'expose.
Donc les vraies questions sont:
- Pourquoi faire ?
- Quel est le besoin ?
- Que produit le script ?
- Que veux-tu récupérer ?
- Récupérer des résultats pour en faire quoi ?
- A qui appartient le script que tu voudrais inclure ?
- Qui en détient le contrôle ?
(La solution pourra alors être différente d'un include d'une url externe).
Exemples: La connexion, les flux RSS, ...
Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog
Piwigo est une application libre de gestion de photos en ligne.
Hors ligne
#6 2010-03-26 11:43:47
- VDigital
- Former Piwigo Team
- Montpellier (FR)
- 2005-05-04
- 15127
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
nicolas a écrit:
Ma question : quel rapport avec Piwigo ?
Divers et Hors-sujet (titre du forum): Donc tu as raison, mais l'endroit est accepté.
Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog
Piwigo est une application libre de gestion de photos en ligne.
Hors ligne
#7 2010-03-26 11:52:58
- Maxou88100
- Membre
- 2010-03-26
- 3
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
- Quel est le besoin ?
Comme je l'ai (mal) expliqué plus haut, le but serait simplement de récupérer les variables de sessions d'un site à l'autre
- Que produit le script ?
Le script est simplement une page de l'autre site. Logiquement, les variables de session seront chargées. Il faudra juste rajouter un session_start()
- Que veux-tu récupérer ?
Les variables de session
- Récupérer des résultats pour en faire quoi ?
Rien, je veux juste les réutilisé pour que l'utilisateur reste connecté
- A qui appartient le script que tu voudrais inclure ?
A moi
- Qui en détient le contrôle ?
Moi
Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(
Hors ligne
#8 2010-03-26 12:49:18
- nicolas
- Former Piwigo Team
- 2004-12-30
- 1565
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Maxou88100 a écrit:
Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(
J'ai mal formulé ma remarque. J'aurais dû écrire "Y a-t-il un rapport avec Piwigo ? " Je voulais savoir cela pour savoir si les sites externes (cf admin) ou une authentification externe pouvait éventuellement répondre à ton besoin.
Sinon tu as évidemment parfaitement besoin de poser ta question mais étant donné que tu la poses sur le forum de piwigo et pas sur un forum php je me posais la question du choix du lieu.
Hors ligne
#9 2010-03-26 14:21:43
- VDigital
- Former Piwigo Team
- Montpellier (FR)
- 2005-05-04
- 15127
Re: Allow_url_include, réel danger ? Besoin de mettre ça au clair :p
Maxou88100 a écrit:
- Quel est le besoin ?
Comme je l'ai (mal) expliqué plus haut, le but serait simplement de récupérer les variables de sessions d'un site à l'autre
- Que produit le script ?
Le script est simplement une page de l'autre site. Logiquement, les variables de session seront chargées. Il faudra juste rajouter un session_start()
- Que veux-tu récupérer ?
Les variables de session
C'est raté, les variables de session (en tant que variables de session ne seront pas atteignables).
Maintenant il est possible de les récupérer via un file_get_contents si le script externe te retourne quelques éléments à minima.
Maxou88100 a écrit:
- Récupérer des résultats pour en faire quoi ?
Rien, je veux juste les réutilisé pour que l'utilisateur reste connecté
- A qui appartient le script que tu voudrais inclure ?
A moi
- Qui en détient le contrôle ?
Moi
Au niveau du "rien à voir avec Piwigo", nous sommes plusieurs amis à l'utiliser. Et notamment sur l'un de mes deux sites :p Donc vue que j'ai déjà remarqué un topic dans ce style sur ce même forum et que je suis dans la rubrique divers et hors sujet, je me suis dis que j'avais le droit :(
C'est ton droit, c'est ainsi que j'avais compris la question.
N'ai-je pas écrit "Exemples: La connexion, les flux RSS, ...".
un plugin qui récupère les informations de connexion "à minima" pour assurer une reconnexion sur le site où se trouve Piwigo.
Cependant, dans cet exemple, il s'agit de solliciter un script de l'autre site pour vérifier le couple user/password. Je ne connais pas à ce jour de plugin qui permettrait d'ouvrir une session sur le site externe, puis rerevenir sur le site de départ pour ouvrir une autre session avec des éléments de la première session.
Cela est plus compliqué si tu t'y connais assez en php nous pourrons t'aider.
Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog
Piwigo est une application libre de gestion de photos en ligne.
Hors ligne
Pages: 1
- » Divers et Hors-sujet
- » Allow_url_include, réel danger ? Besoin de mettre ça au clair :p