Wakinyan Posté 1 Octobre 2007 Partager Posté 1 Octobre 2007 (modifié) Bonjour, je viens de m'apercevoir que mon fichier .htaccess est visible par n'importe qui sur le web en faisant simplement http://www.monsite.com/.htaccess J'ai pourtant vérifié la configuration d'Apache. J'ai bien les lignes suivantes : AccessFileName .htaccess## The following lines prevent .htaccess and .htpasswd files from being # viewed by Web clients. #<Files ~ "^\.ht"> Order allow,deny Deny from all</Files> J'ai essayé de réduire les droits du fichier, mais l'accès au site se bloque si je ne le laisse pas en lecture pour tout le monde. Mon serveur tourne sous Debian Etch et Apache 2.2.3. Je précise que j'utilise le script anti-aspirateur de ce site web : http://www.toulouse-renaissance.net/c_outi...aspirateurs.htm Les premières lignes du fichier .htaccess sont donc : SetEnvIf Remote_Addr ^38\.100\.xx\.xx$ getout # Date+user_agent################################################ BANNISSEMENT DYNAMIQUE VIA SCRIPT# ===> Les adresses bannies sont placées au début du fichier <===# Les listes blanches de fichiers accessibles sont à placer sous cette ligne###############################################SetEnvIf Request_URI "^(/robots\.txt)$" allowsomeSetEnvIf Remote_Addr ^192\.168\.1\.1$ allowsome<Files *>order deny,allowdeny from env=getoutallow from env=allowsome</Files>RewriteRule ^la_page_piege.htm$ /script_cgi/qui_bannit_l'ip.pl [L]etc.etc.... J'ai remarqué que mon fichier .htaccess n'est plus accessible ("Forbidden") publiquement si j'enlève ces lignes. Auriez-vous une solution à ce problème ? C'est très important pour moi car ce fichier contient des directives qui pouraient donner de précieux renseignements à un attaquant. Y-at-il une modification à apporter dans la configuration d'Apache pour supporter le SetEnvIf tout en interdisant la lecture par le public ? Merci d'avance !! Modifié 1 Octobre 2007 par Wakinyan Lien vers le commentaire Partager sur d’autres sites More sharing options...
Wakinyan Posté 1 Octobre 2007 Auteur Partager Posté 1 Octobre 2007 Bon, je me réponds tout seul. Il faut ajouter la ligne suivante en début de fichier : SetEnvIfNoCase Request_URI \.ht(access|passwd)$ getout Normal, le contenu de <Files *>...</Files> surclasse les autres Lien vers le commentaire Partager sur d’autres sites More sharing options...
xunil Posté 1 Octobre 2007 Partager Posté 1 Octobre 2007 Je ne mets absolument rien de tout cela et j'ai le message: You don't have permission to access /.htaccess on this server. Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 1 Octobre 2007 Partager Posté 1 Octobre 2007 C'est parfaitement normal, un fichier .htaccess est protégé par défaut : tu ne peux pas le visualiser dans un navigateur. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant