Bonjour
nous testons actuellement moodle 1.7+ pour l'utiliser comme intranet sur notre serveur qui est encore en php4 - register_globals: ON
Voila le message d'un testeur:
Le site n'est pas sécurisé !!! J'ai sniffé sur mon portable avec ethereal la connection de ma machine principale, récupéré tous les identifiants en clair et pour finir, récupéré l'identifiant de connexion.
Ma machine principale éteinte, mon portable vient de vous envoyer ce nouveau commentaire sans autre formalité ;-(
L'upgrade moodle 1.9 et php5/mysql5 est prévu très prochainement.
Est-ce que vous pensez que cela va résoudre les problèmes de sécurité cités plus haut?
(je ne connais pas très bien le fonctionnement des logiciels de type ethereal)
merci pour vos réponses!
Bien évidemment. Comme indiqué dans la documentation, il est très dangereux d'avoir register_globals activé sur un site web.
La version actuelle de Moodle est très bien sécurisée.
Bonjour Sabine,
Ethereal est un programme qui permet de capturer les paquets TCP/IP sur un réseau. Si vous souhaitez protéger les identifiants de votre site contre ce genre de programmes, il faut installer une solution de cryptage comme mod_ssl ou apache-ssl si vous utilisez le serveur web Apache. D'autres solutions sont bien sûr disponibles si vous utilisez un autre type de serveur web.
Cordialement,
Olivier
Ethereal est un programme qui permet de capturer les paquets TCP/IP sur un réseau. Si vous souhaitez protéger les identifiants de votre site contre ce genre de programmes, il faut installer une solution de cryptage comme mod_ssl ou apache-ssl si vous utilisez le serveur web Apache. D'autres solutions sont bien sûr disponibles si vous utilisez un autre type de serveur web.
Cordialement,
Olivier