[Résolu]Sécurité MyBB

[stef13]

Bonjour tout le monde,

J'aurais quelques petites question a propos de ce script que j'ai tester en locale.
Tout d'abord je voudrais savoir comment se mettre super-admin.
Le problème auquel j'ai réfléchis c'est que si admettons un admin ait accès a son panel et au ftp, peut il modifier mon mot de passe, ainsi que mon status ?
Y a t'il une protection contre ça ?
Comment savoir si un administrateur est super-administrateur ou administrateur simple par le ftp ou la base de donnée MySQL. Et comment modifier ceci ?
Une petite derniere, mybb est-il un script sûr niveau sécurité ?
Merci d'avance pour vos réponses.
Salutations.

[stef13]

Une petite aide ne serait pas de refus... Désolé d'être impatient mais ce projet de mettre tout ça en ligne me tient vraiment à cœur.

[spyto]

Salut,

J'espère bien comprendre la question...

Aucun administrateur n'a directement accès ni au FTP, ni à la base de données.
Les modifications qu'il peut apporter à la BD se font uniquement à partir de l'interface d'administration. Et là, nulle part n'apparaissent en clair les accès FTP et/ou BD.

Si tu veux qu'un admin puisse y accéder (pourquoi d'ailleurs ?), il te faudra lui communiquer les codes.

[stef13]

Tout d'abord merci d'avoir pris la peine de me répondre.
J'ai dû mal m'exprimer, si c'est le cas je m'en excuse.
Lorsque je parle d'un accès FTP c'est après avoir héberger le script MyBB sur un nom de domaine ( chez un hébergeur comme OVH,1and1 ou autre) donc il y aura accès au FTP et a l'interface de base de données MySQL.
Mes questions sont les suivantes :
A partir du panel MyBB, ou du ftp, un admin ( qui n'est pas le créateur ) peut il modifier le mot de passe du créateur ( lui aussi admin ) ainsi que son statu.
Exemple: Monsieur X créé le forum sur un hebergement, il a acces a la Base MySQL, ftp et au panel d'administrateur MYBB. Monsieur Y, qui est une personne malhonnete réussi a gagner la confiance de Monsieur X en devenant admin ( donc acces au panel MyBB) et ayant les accès au FTP ( les dossiers, les fichiers, tout le tralala). Monsieur Y peut il modifier le mot de passe du créateur ( X ), ou modifier son status ( le repasser simple membre du forum ).

A partir de cette réponse, qui je pense sera "Oui", comment éviter cela ? Y-a t'il un statu d'admin suprême sur qui aucuns droits ne font effet ?.

Pour finir, si la réponse est encore "Oui il y a un statu de super admin", alors j'aimerai savoir comment vérifier cela et comment le modifier si possible tout en sachant que l'on a accès a la Base MySQL, au FTP, et au panel d'administration.

Beaucoup de question niveau sécurité je sais, mais je veux être sur de mon choix.
Salutations.

[stef13]

Personne ne peux éclairer ma lanterne ?

[teol]

Non, tu ne peut pas modifier de mots de passes par le FTP, ni le status d'un membre. C'est possible via la BDD MySQL mais ca reste assez difficile, il faut trouver la methode de cryptage ( pour le mdp ), s'il ne crypte pas au pire tu peux le recup, et s'il modifie ton status tu peu le remettre.

Le mieu reste de ne pas lui donner l'identifiant de ta BDD. Et s'il réussi a changer tout tout, au pire tu peux rechanger les mdp's via le pannel de ton hebergeur

[stef13]

Merci d'avoir répondu à ma question.
De toute façon du moment qu'une personne à l'acces ftp,il peux acceder à la bdd mysql donc modifier pas mal de chose.
Il n'y donc pas d'administrateur suprême... J'ai entendu dire que les mots de passes sault+md5 étaient déchiffrables. Est ce vrais ?
Désolé de sombrer dans la paranoïa mais je ne veux pas me tromper en agissant.

[spyto]

L'accès au FTP n'entraîne pas obligatoirement l'accès à la BDD via PHPMyAdmin !
Il te suffit d'utiliser des identifiants différents !

De plus, un admin n'a pas accès au FTP "par défaut", il faut que tu lui donnes expressément les codes.
Il a uniquement accès à l'interface admin et peut modifier la BDD via ce panel, d'accord, mais pas directement.

Aucun système, que je sache, ne peut être sécurisé à 100% !
La seule règle efficace est de ne confier tes accès qu'à des personnes sûres.

C'est vrai que ça semble un peu parano... A partir du moment où tu fais régulièrement des sauvegardes du FTP et de la BDD, il 'y a pas grand risque !

[stef13]

Eh bien, détrompes toi à partir d'un accès FTP on remonte facilement sur la BDD mysql ( j'éviterais d'en parler ici mais par mp pas de soucis).
J'ai bien compris le principe de l'admin et j'ai ce que je eu ce que je voulais. Encore désolé d'avoir paru parano mais c'est dans mon caractère... J'ajouterais aussi que les "personnes sûres" n'existent pas sur la toile. On est jamais à l'abri d'un mauvais coup...

Je vous remercie !

[spyto]

Oui, je sais, il suffit d'aller lire le bon fichier...
Encore faut-il savoir le faire et connaître l'url vers phpmyadmin.

Je sais bien que le risque zéro n'existe pas. Contrairement à toi, je pense que les personnes sûres existent : il y en a ici !!! Pas beaucoup, mais il y en a.

Il ne faut pas prendre un admin qui fréquente ton forum depuis 15 jours, c'est évident ! C'est quelque chose qui se mesure à l'implication dans des grades inférieurs et dans la durée !
Et méfie-toi des "demandeurs"... un grade ça se mérite par son travail, ça ne se quémande pas, à mon avis.