Aller au contenu

Bloquer l'accès à un répertoire sans bloquer ses pages


MrPierre

Sujets conseillés

Salut à tous !

Dites j'ai un souci avec mes permissions : lorsque je mets tout un répertoire en 711, tout le monde y a accès alors que la lecture ne devrait être autorisée qu'au webmaster. J'ai essayé de la même façon de bloquer l'accès à certaines pages (genre un fichier css ou php contenant des fonctions), et si je les "bloque", les pages qui devraient charger ce contenu ne peuvent y accéder.

Qu'en est-il finalement ? Quelles permissions rendent le site navigable mais interdit l'accès direct à certaines pages "techniques" ?

Merci d'éclairer ma lanterne :)

Lien vers le commentaire
Partager sur d’autres sites

Donc pour le répertoire, créer une page d'index par exemple. Et pour les pages de script, bloquer l'accès aux non-admins...

A priori ça me dérange pas trop que l'on puisse voir mes scripts, mais n'est-ce point dangereux ?

Lien vers le commentaire
Partager sur d’autres sites

En toute logique, personne ne peut voir tes scripts PHP : ils sont interprétés par le serveur avant d'être envoyés au navigateur (Il faut bien TOUJOURS les nommer en .php, pas en .inc).

Seuls les JavaScripts (et de manière générale, tout ce qui est envoyé au navigateur) ne peuvent pas être masqués.

Lien vers le commentaire
Partager sur d’autres sites

Oui et les css. Non mais figure toi qu'un programmeur a rejoint notre équipe (bénévolement) il y a peu, et qu'avant qu'il ai eu accès à tous les fichiers, il savait déjà donner leur look et leurs fonctions à plusieures pages sur lesquelles on lui avait demandé de bosser.

Si un tordu souhaite copier le site, tout est à disposition donc...

Lien vers le commentaire
Partager sur d’autres sites

Bah en tout cas les balises html sont à disposition + les fichiers de script js + le css.

Ca fait déjà beaucoup, mais à nouveau, c'est un peu pour ça que je poste ce topic : y a-t-il des risques quelconques, en sachant que de toute manière le php et autre requêtes SQL ou Perl ne sont pas affichables.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

aucun risque à ce que les HTML/CSS/JavaScripts soient accessibles
Il est même techniquement impossible que ces fichiers soient gardés secrets et, en même temps, accessibles au navigateur des visiteurs (c'est à ça qu'ils servent!).

Par contre, cacher le contenu des répertoires est une bonne pratique. Cela se fait au moyen de la config Apache ou d'un fichier .htaccess :

Options -Indexes

Jean-Luc

Lien vers le commentaire
Partager sur d’autres sites

Ok, j'ai tout de même créer un index.php pour mon sous répertoire :)

Et donc tu vas mettre un fichier index.php dans tous tes répertoires pour empêcher le listing de ceux-ci ?

Le mieux est de placer un fichier .htaccess à la racine avec :

Options -Indexes

Empêchera le listing de tous les répertoires :)

Pour plus d'infos sur le fichier .htaccess, lire Le fichier .htaccess (publication du Hub).

Lien vers le commentaire
Partager sur d’autres sites

Et sinon, qu'entends-tu par listing Ernestine ?

Il m'a semblé que ton souci, c'était d'empêcher que les gens puissent appeler des scripts sur ton serveur sans y être autorisé. La première chose à faire est donc de leur empêcher de connaître le nom des fichiers, et donc les empêcher de voir le contenu des répertoires (faire le listing) en tapant l'url du répertoire dans leur navigateur. C'est à cela que sert le Options -Indexes

C'est une recommandation minimale de sécurité ;)

Lien vers le commentaire
Partager sur d’autres sites

Donc il y a une différence entre ne pas montrer ses urls et faire un RewriteRule ?!

J'ai pas encore testé à vrai dire, mais il me semble que les pages pourront toujours puiser dans exemple.js.

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...