Consultez la FAQ sur le ZF avant de poster une question
Vous n'êtes pas identifié.
Pages: 1
Bonjour à tous,
Nouveau ici, voici mon premier post sur ce forum. Je suis freelance et j'ai quelques projets Zend Framework à mon actif.
Je viens aujourd'hui vous soumettre une question qui sort légèrement du spectre de Zend.
Un client souhaite sécuriser son site. Son souhait serait d'éviter que des scripts ou autre viennent pomper automatiquement le contenu de son site (site type annuaire en cours de développement sur lequel je ne suis pas encore intervenu).
A cette fin, il souhaiterait mettre en place quelque chose qui analyse par exemple le nombre de connexion d'une même IP dans un temps donné et lui restreindre l'accès quand ce nombre est trop élevé.
On voit déjà ce mécanisme sur de nombreux site, les premiers auquels je pense sont les forums pour lesquels, lorsque l'ont effectue une recherche trop souvent, on est obligé d'attendre (je ne sais pas si c'est le cas ici).
Ma recherche se fait donc en 2 phases :
1) Recherche de script libre faisant déjà cela (inutile de redévelopper la roue si celle ci est robuste et fonctionnelle).
2) Réflexion sur le développement d'un tel script dans une architecture type Zend
De ce fait, j'aimerais partager vos expériences et avis :
1) Connaissez vous de tels scripts ? Avez vous des retours ?
2) Avec une architecture MVC et la page index vers laquelle toutes les requêtes passent, il me semble aisé de faire un tel script qui serai appelé dans ce point d'entrée, qui va enregistrer en base l'ip et l'heure et faire un check. Quid des performances ?
Merci à tous pour vos retours.
Mickaël.
Hors ligne
Bonjour,
Je n'ai finalement rien mis en place mais j'étais tombé sur une mine d'infos :
http://danzcontrib2.free.fr/pieges.php
Si tu mets quelque chose en place, je suis preneur pour un petit retour d'expérience.
A+, Philippe
Hors ligne
Bonjour Philippe,
Merci beaucoup pour cette réponse. J'ai jeté un oeil rapide et je détaillerais surement plus semaine prochaine.
Je te ferais un retour sans souci si je mets une solution en place.
Si d'autres ont déjà fait, n'hésitez pas.
A bientôt,
Mickaël.
Hors ligne
une autre solution serait de configurer le serveur HTTP contre les attaques par déni de service
un exemple avec Apache là :
http://blog.info16.fr/?p=139
Hors ligne
philippe a écrit:
Bonjour,
Je n'ai finalement rien mis en place mais j'étais tombé sur une mine d'infos :
http://danzcontrib2.free.fr/pieges.php
ça a l'air pas mal ce site, je mets dans mes bookmarks
Merci pour le lien !
Hors ligne
Bonjour à tous,
Merci nosferapti pour cette solution, elle me semble très bien aussi. Je vais creuser, l'idéal serait de pouvoir y ajouter une redirection sur une page donnée plutôt et je ne sais pas si cela est possible, mais en tout cas, je la garde en tête !
A bientôt,
Mickaël.
Hors ligne
STA2M a écrit:
l'idéal serait de pouvoir y ajouter une redirection sur une page donnée plutôt et je ne sais pas si cela est possible
d'après l'article, le module retourne une erreur 403
donc il est surement possible de personnaliser l'erreur 403 avec ça :
http://httpd.apache.org/docs/2.0/mod/co … ordocument
Hors ligne
Perso, je me ferais un Zend_Acl_Assert
Hors ligne
Bonjour à tous,
Comme promis, je reviens ici vous faire un petit retour d'expérience.
J'ai principalement utilisé le lien de Philippe. Ainsi j'ai créé une solution inspirée du script PHP me permettant de bloquer les IP faisant un trop grand nombre de requête dans la minute. Cette solution est d'autant plus simple à mettre en place, car avec Zend, il suffit d'appeler le script dans le bootstrap.
Les tests me semblent ok pour le moment et cela correspond bien à la demande que j'avais.
J'ai également rajouté des règles dans mon fichier htaccess. (le lien dans la page de Philippe n'est plus fonctionnel, mais on trouve facilement d'autres pages traitant du sujet avec une simple recherche). Je n'ai pas encore assez de recul de ce coté là pour le moment par contre.
La méthode proposée par Nosferapti peut être une bonne solution, mais je ne l'ai pas retenu pour différentes raisons. Il faut savoir que :
- Ce mod n'est pas un mod "officiel" apache, il n'est donc pas disponible sur des hébergements mutualisés,
- Il a été développé uniquement pour linux à la base. Si vous développez sous Windows, cela risque d'être plus difficile pour vos tests,
- La redirection s'effectue uniquement sur la page 403,
- La configuration s'effectue dans le fichier httpd.conf. Elle est donc commune pour l'ensemble de vos sites.
C'est donc un très bon mod pour gérer les attaques par déni de service ou autres (à vous de voir) mais il ne correspondait pas bien à mon besoin.
Enfin, je n'ai pas utilisé Zend_Acl car non mis en place dans ce projet pour le moment. Je préférais de plus laisser les Acl pour la gestion des droits et avoir un script pour le blocage d'IP au point d'entrée du site.
Si vous avez des questions, n'hésitez pas.
Merci encore à tous pour votre aide.
Mickaël.
Dernière modification par STA2M (03-02-2010 13:09:10)
Hors ligne
Pages: 1