Sécurité et pérennité du Forum

Jéjon a écrit:

ForumActif a effectué une grosse mise à jour hier, avec l'ajout de nombreux gadgets inutiles outils de fonctionnalité avancée, mais voilà... ça beugue méchamment ! Jugez plutôt : ils ont ouvert hier à midi un fil à ce sujet qui compte à cette heure... 630 messages !

Bon ça confirme mon point de vue de la nécessité d'envisager une solution
plus pérenne à terme.

je suis d'accord, une solution pérenne serait bien mieux... mais, Maître Jéjon me dirait si je me gourre, quand on est chez ForumActif, on est lié à eux, on ne peut même pas récupérer de sauvegarde pour restaurer le forum sur un autre site tout neuf... donc ça veut dire perte de toutes les conversations... la misère quoi!

Oui, je le crains !

Lisez par exemple cette courte discussion ou, tout simplement, les Conditions générales à la création d'un forum FA, chapitre "Données et sécurité" :

Citation :

Aucune sauvegarde précise d'un forum, dump, backup des données ne sera fourni quelque [sic] soit la raison évoquée.

Les backups, c'est pas un problème. Utiliser par exemple:

http://www.01net.com/telecharger/windows/Internet/aspirateur/fiches/1911.html

ça va te conserver les pages figées, c'est mieux que rien c'est sûr, mais ça ne va pas recréer la base de données, et donc on ne pourra que consulter ces pages sans qu'elles soient intégrées dans le forum, et on ne pourra pas y répondre. La misère quoi!

Bonjour,

Vous avez vu ce qui est arrivé au forum Velectris? Toutes les discussions ont disparu...
Voir ici: http://www.velectris.com/forum/s1151-Attaque-Forum.html
Il y en a qui récupèrent leurs sujets tant bien que mal dans les "cache" de Google, mais tout ne sera pas récupéré.

On est a l'abri de ce genre d'attaque ici?

PS: si on a déjà parlé de ça sur le forum, merci de fusionner... mais j'ai pas trouvé.

vercovelo a écrit:

On est a l'abri de ce genre d'attaque ici?

Nous sommes entre les mains de l'hébergeur, donc c'est à voir... Il y a eu une vieille discussion sur comment faire un back-up. La conclusion, c'était que c'est pas facile voir pas faisable...

vercovelo a écrit:

Vous avez vu ce qui est arrivé au forum Velectris? Toutes les discussions ont disparu...

Ah bon ?
Ils parlaient de jean sarkozy ? parce que ds ces cas là, oui, ça arrive

le forum de velectris est hebergé je sais pas ou , sur une serveur dedié surement , plus vulnerable , l attaque as du se faire par le serveur , pas par le punbb .

notre forum est hebergé en commun , on dois etre un peu plus a l abri .( et on n as pas de vocation commerciale... )

JPL75 , tu veux faire fermé le forum , je plaisante !

Bonjour,

sparv a écrit:

Il y a eu une vieille discussion sur comment faire un back-up. La conclusion, c'était que c'est pas facile voir pas faisable...

Admisnistrateur d'un forum sous punBB (de même nature que phpBB), je m'étonne de ton propos , car je fais régulièrement des dumps (backup de la base au format SQL) de la base sans souci en dehors du temps passé.

jpl75 a écrit:

vercovelo a écrit:

Vous avez vu ce qui est arrivé au forum Velectris? Toutes les discussions ont disparu...

Ah bon ?
Ils parlaient de jean sarkozy ? parce que ds ces cas là, oui, ça arrive

Monsieur, nous apprécierions que vous soyez plus précis sur le patronyme de notre futur président de la république bananière française.
Son véritable nom est: Jean Ali Bongo Sarkozy de Nagy-Bocsa.

Signé Thomas Devedjian président de l'association des "fils de" et "nommé par"...

Bon, en tout cas c'est vraiment dommage, j'ai puisé pas mal d'infos sur ce forum (même si finalement je n'ai pas acheté Velectris).
Je me demande tout de même si cette histoire d'attaque tient la route. Même si elle est techniquement possible, il faudrait être vraiment con pour faire un truc comme ça. Je suis peut-être naïf, mais je ne vois pas ce que même le concurent le plus déloyal chercherait en faisant ça. Le forum est en train de se reconstruire assez vite on dirait, donc je ne pense pas que le préjudice à Velectris soit si grand.
Reste l'hypothèse d'une erreur monumentale ou d'une défaillance d'un serveur chez Velectris, qu'ils n'osent pas avouer.
Mais bon, rien ne sert de polémiquer...
Ceci dit je pense qu'il serait bon de vérifier si notre hébergeur a pris certaines précautions (backup, etc).

promis c'est pas moi ...

Sparv a écrit:

vercovelo a écrit:

On est a l'abri de ce genre d'attaque ici?

Nous sommes entre les mains de l'hébergeur, donc c'est à voir... Il y a eu une vieille discussion sur comment faire un back-up. La conclusion, c'était que c'est pas facile voir pas faisable...

Pas faisable du tout, l'admin du forum n'a accès qu'au pannel d'administration, mais pas aux fichiers php, ni à la base de données.

Tioub a écrit:

le forum de velectris est hebergé je sais pas ou , sur une serveur dedié surement , plus vulnerable , l attaque as du se faire par le serveur , pas par le punbb .

notre forum est hebergé en commun , on dois etre un peu plus a l abri .( et on n as pas de vocation commerciale... )

Résultat whois pour velectris.com

domain: velectris.com
reg_created: 2005-05-13 12:25:31
expires: 2010-05-13 16:25:31
created: 2005-05-13 18:25:32
changed: 2009-09-22 16:11:36
transfer-prohibited: yes
ns0: ns0.si7v.fr
ns1: ns1.si7v.fr
ns2: ns2.si7v.fr
...

Hébergé chez http://www.si7v.fr

Une attaque sur le serveur, au vu de la nature des dégâts, j'en doute.
Quelqu'un qui à les clés d'un serveur, ou il se sert de ce dernier pour son service (comprendre qu'il reste discret), ou bien il le fait pour faire mal, dans ce cas il efface tout ou vérole tout, bref il ne se contente pas d'effacer une partie des messages.

Au vu du témoignage signalant la présence en ligne de l'admin au moment du "problème" et comment cela se produisait (disparition des rubriques les unes après les autres), je pencherais pour 2 soluces :
- l'admin en question a pèté les plombs (peu probable)
- l'admin en question s'est fait piquer son mot de passe ou le script punBB du moment avait une faille (plus probable)

Ce forum est plus à l'abris ? Je ne pense pas.

Trikoteur a écrit:

Pas faisable du tout, l'admin du forum n'a accès qu'au pannel d'administration, mais pas aux fichiers php, ni à la base de données.

Je trouve ça "énOorme" de faire héberger du contenu sans avoir au minimum un accès aux fichiers et données de la base.
Que l'hébergeur ne donne pas accès au moteur de base de données, à son système d'explotation, c'est tout à fait normal. Mais interdire un accès via ftp ou autre application (ex: phpadmin) aux données hebergées c'est la 1er fois que j'en entends parler.

Rq: Dans punBB et phpBB, il existe un plugin (mod) pour faire une sauvegarde de la base de données via le panneau d'admin.

Le fil "Attaque sur le forum Velectris" (octobre) se voit ici greffé ; voyez les infos en amont sur ce sujet d'une importance capitale... Ci-dessus se trouve donc confirmée l'info de Trikoteur : l'admin du forum n'a accès qu'au pannel d'administration, mais pas aux fichiers php, ni à la base de données.

Deux précisions... dans la rubrique "Sécurité" de notre panneau d'administration apparaissent les mentions suivantes :

Citation :

Sauvegarde automatique du forum : [ Actif ]
(Cliquez ici pour accéder à la gestion de vos sauvegardes)

Mode Anti-aspirateur & Anti-spam (pour vos pages et les emails contenus dans celles-ci) : [ Actif ]

Et il va de soi que, dans ce dernier item, il n'existe pas de case "inactif" à cocher...

Merci Jéjon pour ces précisions.

Dans les conditions générales, j'ai trouvé ceci :
"
[...]
Ainsi une sauvegarde de l'ensemble des données est effectuée quotidiennement. Par contre aucune sauvegarde précise d'un forum, dump, backup des données ne sera fourni quelque soit la raison évoquée. L'administrateur du forum dispose néanmoins d'outils lui permettant d'utiliser ces sauvegardes en remettant son forum en place tel qu'il était à une date antérieure.
[...]
"

C'est plutot rassurant, les données ne seraient pas (complètement) perdues. Ouf !

stoff a écrit:

Rq: Dans punBB et phpBB, il existe un plugin (mod) pour faire une sauvegarde de la base de données via le panneau d'admin.

Faut juste avoir le droit d'installer des mod...... par ftp: niet, panneau d'admin: vu l'habitude de la maison, ça doit être bridé!

rien n'est gratuit sur le net

ils nous fournissent une infrastructure administrée, mais ils en récoltent les bénéfices de la pub.

Pour éviter les "migrations" ces plateformes interdisent toute sauvegarde à destination des admin/modos. Car d'autres plateformes pourraient etre tentées de capter les forums les plus actifs ;-), ou nous de nous dispenser des pubs en réinstallant le forum dans un serveur auto-géré.

La seule "solution" est de pomper (par un programme) les pages du forum, sans se faire remarquer... mais
- les profils ne pourraient pas être entièrement repris (seulement les infos visibles pour un visiteur). Pour les mots de passe on pourrait imaginer que sur le nouveau forum chaque membre doive se réinscrire / demander son mot de passe par mail (pour ceux dont le mail est visible).
- insertion des données dans une nouvelle base, bien maîtriser la structure de phpBB!


puis après... retrouver les mêmes fonctionnalités, maintenance du forum, c'est du boulot!

Effectivement quand on lit en détail les conditions générales, vous êtes pieds et poings liés!

"Aucun remboursement ne peut être envisagé pour un arrêt de service, un dommage ou une perte de contenu. [...]
Par contre aucune sauvegarde précise d'un forum, dump, backup des données ne sera fourni quelque soit la raison évoquée. "

C'est pas très rassurant sur la pérénnité des données.

stoff a écrit:

C'est pas très rassurant sur la pérénnité des données.

c'est l'occasion de construire le WIKI qui, lui, peut être déménagé comme ce fut déjà le cas

et sur le wiki, on peut mettre un forum... mais d'ici à atteindre les fonctionnalités de phpBB... et puis toujours le même problème de transfert de données.

Un forum sur un wiki, ça peut ressembler à ça : http://www.tousauxbalkans.net/Forum

iubito a écrit:

stoff a écrit:

Rq: Dans punBB et phpBB, il existe un plugin (mod) pour faire une sauvegarde de la base de données via le panneau d'admin.

Faut juste avoir le droit d'installer des mod...... par ftp: niet, panneau d'admin: vu l'habitude de la maison, ça doit être bridé!

Même si tu as accès au ftp, pour que le mod marche, il faut avoir le login et mot de passe de la base de données.

Quant a l'aspirateur, il le fera au format html, et non pas php + mysql, donc des pages figées.

Trikoteur a écrit:

Quant a l'aspirateur, il le fera au format html, et non pas php + mysql, donc des pages figées.

ça peut se "parser"...