juin 25

KeePass

KeePass est un logiciel gestionnaire de mots de passe et notes textes associées, classées par thèmes et sécurisé par un mot de passe.

La séquence de frappe par defaut (login, tab, pass, tab, enter) peut être modifier/désactivé pour chaque entrée.

 

Le champ de mot de passe peut être généré par un aléatoirement et de manière personnalisé si on le souhaite, afin d’avoir un mot de passe sécurisé et différente à chaque fois.

keepass-password

Les champs à remplir peut êtres aussi bien sur une page Web que sur un programme Windows.
Un simple raccourcis clavier, paramétrable dans keepass, permet de remplir les champs (si la fenêtre est reconnu).


Seul parfois quelques pages, notamment en HTTPS, peuvent ne pas être reconnu automatiquement. Mais comme on à toujours la possibilité de remplir les champs, via un clic droit sur l’entrée de KeePass…. pas grave.

Tous les mots de passes, login, notes…. sont encryptés dans un simple fichier .kbx, utilisable par Keepass et ses applications mobiles mais aussi par d’autre logiciel et applications (LastPass par exemple) de gestion de mot de passe.

Il y a une version « portable », qui peut donc se placer sur sa Dropbox et/ou sur une clé USB et une version classique mais dont on peut indiquer un emplacement pour la base de donnée.

Synchroniser KeePass avec son smartphone

Il suffit d’avoir le fichier .kbx présent dans un dossier de sa dropbox et d’installer l’appli Keepass2Android par exemple qui permettra de voir/modifier et envoyer en notification le login et password indiqué.

Lier KeePass à chrome

L’extension keepass pour navigateur permet d’ouvrir automatiquement

Allez sur la page du plugin keepassHttp pour le télécharger KeePassHttp.

Allez dans le dossier ou est installé keepass, créé un dossier nommer « plugins » et mettre dedans le fichier keepasshttp.plgx .

Installer l’extension pour Chrome ChromeIpass, une fois fait cliquer sur « connect » pour lier l’extension à son keepass (il faut jsute indiquer un nom du style « chrome du bureau).

Cocher certaines options dans keepass outils/keepasshttp options :

keepass-http01 keepass-http02

Notamment pour : afficher une notification si 2 entrées sont trouvé pour une page Web et à ne pas avoir à valider à chaque fois qu’une entrée est détecté.

L’extension permet aussi de générer un mot de passe sécurisé (utilisant les paramètres de mot de passe par défaut de keepass) , un cadenas apparaissant sur les champs de mot de passe détecté.

 

Catégorie : WINDOWS | Commenter
février 23

Se rendre propriétaire d’un dossier

Le système cache par défaut certains fichiers et dossiers afin d’éviter leur suppression intempestive ou son remplacement par un fichier infecté/corrompu. Pour les afficher, les paramètres d’affichage et de masquage des dossiers et fichiers doivent être modifiés en conséquence. Voir Affichage des fichiers et dossiers masqués. Certains dossiers (System Volume Information par exemple) restent inaccessibles malgré ces modifications.

C’est également le cas des dossiers ayant appartenu à un utilisateur dont le compte a été supprimé ou lorsque la réinstallation du système a supprimé l’ancien utilisateur propriétaire d’un dossier respectivement si l’accès à son dossier est refusé à un utilisateur après réinstallation/réparation du système.

Pour accéder au contenu de ces dossiers, il faut s’en rendre propriétaire. La procédure ci-dessous s’effectue en session d’utilisateur avec droits d’administration pour la version Professionnelle ou en mode sans échec dans la session de l’utilisateur nommé Administrateur (ou Propriétaire) pour la version Familiale (dans ce compte aux droits très étendus, l’accès aux dossiers est activé par défaut).

Note pour la version Professionnelle: L’accès à la sécurité est désactivé par défaut. S’assurer que l’entrée Partage simple des dossiers est décochée dans le menu Outils/Options des dossiers, onglet Affichage, au bas de la liste.

  1. Cliquer du bouton droit sur le dossier dont l’accès est refusé et sélectionner Partage et Sécurité (ou Propriétés). Sous l’onglet Sécurité, cliquer sur le bouton Paramètres avancés
  2. Sous l’onglet Autorisations, s’assurer que l’utilisateur de la session en cours est présent dans la liste, sinon l’ajouter:
    • Cliquer sur le bouton Ajouter
    • Saisir le nom d’utilisateur qui doit pouvoir accéder au dossier
    • Confirmer en cliquant sur OK
      (Ou utiliser les boutons Avancé et Rechercher pour sélectionner le nom).
  3. Sous l’onglet Propriétaires, sélectionner l’utilisateur précédemment ajouté et cocher l’option Remplacer le propriétaire des sous conteneurs et des objets
  4. Cliquer sur OK et, le cas échéant, valider par Oui le message d’avertissement

Remarque: Si cette solution ne suffisait pas, se procurer l’utilitaire SubInACL de Microsoft, plus fiable que la commande native cacls qui affecte parfois dans un ordre incorrect et provoque ainsi des erreurs. Cet outil est plutôt réservé aux utilisateurs avertis car des erreurs dans les contrôles d’accès pourraient avoir des conséquences graves.

Catégorie : WINDOWS | Commenter
août 5

jHackGuard

Anti injections SQL, inclusions url, attaque XCC

Ce plugin a été utilisé avec succès par des clients SiteGround au cours des dernières années

Pour le rendre valid W3C:

Editer plugins/system/jhackguard.php, ligne 74, virer les balises CENTER

Logging options

  • Fichier journal – Ici vous pouvez entrer le nom du fichier où les billes sur les activités plugin sera conservé. Log file – Here you can enter the file name where the logs about the plugin activities will be kept. Le nom de fichier par défaut est jHackGuard-log.php. The default file name is jHackGuard-log.php. Il est stocké dans le cadre du dossier logs. It is stored under the logs folder.
  • Activer la journalisation – Vous pouvez décider si les activités plugin sera connecté Enable Logging – You can decide whether the plugin activities will be logged
  • Les flux de données Data Streams
  • Filtrer $ _POST – Filtres variables provenant de la méthode POST HTTP. Filter $_POST – Filters variables coming from the HTTP POST method.
  • Filtrer $ _GET – Filtres variables passées au script par le biais de paramètres d’URL. Filter $_GET – Filters variables passed to the script through URL parameters.
  • Filtrer $ _COOKIE – Filtres variables provenant de cookies HTTP. Filter $_COOKIE – Filters variables coming from HTTP Cookies.

Filtrage des paramètres Filtering parameters

  • eval Filter () – Filtres le résultat de l’évaluation d’une chaîne comme un script PHP. Filter eval() – Filters the result of the evaluation of a string as PHP code.
  • Filtrer base64_decode – Filtres le résultat de la base64 de décodage de données codées. Filter base64_decode – Filters the result of the base64 encoded data decoding.
  • Filtrer les commandes SQL – Filtres l’exécution de commandes SQL. Filter SQL commands – Filters the execution of SQL commands. Cette solution empêche les attaques par injection SQL. This solution prevents SQL injection attacks.

Paramètres avancés Advanced Parameters

  • Allow_url_fopen – Désactive l’option de récupérer des fichiers sur serveur FTP ou Web. Allow_url_fopen – Disables the option to retrieve files from remote FTP or Web server. Cette solution protège votre site web contre les injections de code. This solution protects your web site against code injections.
  • Allow_url_include – Désactive la possibilité d’inclure des URL dans les demandes de PHP. Allow_url_include – Disables the option to include URLs in PHP requests. De cette façon, votre site web seront protégés contre les attaques à distance l’inclusion URL. In this way your web site will be protected against Remote URL Inclusion attacks.