Discussion :

[kenny_badboy]

Bonjour,

Ma plateforme web est composé de 2 parties bien distinctes :

www.monsite.com
* un login.php avec une demande de login et mdp
client.monsite.com
* plusieurs modules (pages/dossiers) accessibles après authentification

exemple

/index.php
/login.php
/courrier/mail.php
/courrier/img/mail.jpg
etc...

Lorsque je souhaite accéder au dossier courrier depuis www lorsque je ne suis pas loggé sur un client alors => 403

Mais cela donne une indication de la structure de ma plateforme web lors d'une attaque brute de force type intellitamper.

J'aimerais donc transformer mes 403 en 404 sur www pour limiter la découverte.

Merci d'avance pour vos réponses

[tortue_22]

Pour mettre ta page en 404 je ne sais pas mais tu peux mettre en place un pare-feu applicatif. Avec ça tu n'auras pas de fuite d'information et l'erreur sera 501.

Je sais pas si ca va te servir

tortue

[kenny_badboy]

Heu ... cette solution ne convient pas quelqu'un a t'il une autre idée ?

[_Mac_]

Lorsque je souhaite accéder au dossier courrier depuis www lorsque je ne suis pas loggé sur un client alors => 403

C'est normal et obligatoire que le serveur renvoie un code 403 sur ce répertoire : sans ce code, le navigateur ne sait pas qu'il faut s'authentifier pour accéder au répertoire courrier, donc ne peut pas proposer la boîte de dialogue pour l'authentification.

Première question pour confirmer mon analyse : fais-tu bien de l'authentification basique sur ton site (dont pour /courrier) ?

Dans quelles circonstances accède-t-on à ce répertoire courrier ? il faut que le navigateur affiche à un moment donné l'URL /courrier/mail.php ou cette URL est totalement masquée car mail.php ne contient que des fonctions qui sont appelées par un autre script ?