MrPierre Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Salut à tous ! Dites j'ai un souci avec mes permissions : lorsque je mets tout un répertoire en 711, tout le monde y a accès alors que la lecture ne devrait être autorisée qu'au webmaster. J'ai essayé de la même façon de bloquer l'accès à certaines pages (genre un fichier css ou php contenant des fonctions), et si je les "bloque", les pages qui devraient charger ce contenu ne peuvent y accéder. Qu'en est-il finalement ? Quelles permissions rendent le site navigable mais interdit l'accès direct à certaines pages "techniques" ? Merci d'éclairer ma lanterne Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Ce sont uniquement les droits du système de fichiers que tu modifies comme cela : pas les droits du navigateur ! Tu devras développer des fonctionnalités en PHP, pour bloquer ce genre de pages. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Donc pour le répertoire, créer une page d'index par exemple. Et pour les pages de script, bloquer l'accès aux non-admins... A priori ça me dérange pas trop que l'on puisse voir mes scripts, mais n'est-ce point dangereux ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 En toute logique, personne ne peut voir tes scripts PHP : ils sont interprétés par le serveur avant d'être envoyés au navigateur (Il faut bien TOUJOURS les nommer en .php, pas en .inc). Seuls les JavaScripts (et de manière générale, tout ce qui est envoyé au navigateur) ne peuvent pas être masqués. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Oui et les css. Non mais figure toi qu'un programmeur a rejoint notre équipe (bénévolement) il y a peu, et qu'avant qu'il ai eu accès à tous les fichiers, il savait déjà donner leur look et leurs fonctions à plusieures pages sur lesquelles on lui avait demandé de bosser. Si un tordu souhaite copier le site, tout est à disposition donc... Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Je ne comprends pas : comment le code source pourrait-il être à disposition ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Bah en tout cas les balises html sont à disposition + les fichiers de script js + le css. Ca fait déjà beaucoup, mais à nouveau, c'est un peu pour ça que je poste ce topic : y a-t-il des risques quelconques, en sachant que de toute manière le php et autre requêtes SQL ou Perl ne sont pas affichables. Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Non, aucun risque à ce que les HTML/CSS/JavaScripts soient accessibles : en toute logique, il n'y a strictement rien de confidentiel dedans. Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Ok, j'ai tout de même créer un index.php pour mon sous répertoire Merci la_torche, a++ Lien vers le commentaire Partager sur d’autres sites More sharing options...
Jeanluc Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Bonjour, aucun risque à ce que les HTML/CSS/JavaScripts soient accessiblesIl est même techniquement impossible que ces fichiers soient gardés secrets et, en même temps, accessibles au navigateur des visiteurs (c'est à ça qu'ils servent!). Par contre, cacher le contenu des répertoires est une bonne pratique. Cela se fait au moyen de la config Apache ou d'un fichier .htaccess : Options -Indexes Jean-Luc Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ernestine Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Ok, j'ai tout de même créer un index.php pour mon sous répertoire Et donc tu vas mettre un fichier index.php dans tous tes répertoires pour empêcher le listing de ceux-ci ? Le mieux est de placer un fichier .htaccess à la racine avec : Options -Indexes Empêchera le listing de tous les répertoires Pour plus d'infos sur le fichier .htaccess, lire Le fichier .htaccess (publication du Hub). Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Oui je venais justement d'y penser ! Je comptais faire un truc du genre RewriteRule ^fichier.js$ / [R=404] . Et sinon, qu'entends-tu par listing Ernestine ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
captain_torche Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Surtout pas : tu empêcherais le navigateur d'afficher les fichiers ! Sinon, le listing d'un répertoire, c'est l'affichage du contenu en l'absence de fichier index. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Ernestine Posté 20 Septembre 2010 Partager Posté 20 Septembre 2010 Et sinon, qu'entends-tu par listing Ernestine ? Il m'a semblé que ton souci, c'était d'empêcher que les gens puissent appeler des scripts sur ton serveur sans y être autorisé. La première chose à faire est donc de leur empêcher de connaître le nom des fichiers, et donc les empêcher de voir le contenu des répertoires (faire le listing) en tapant l'url du répertoire dans leur navigateur. C'est à cela que sert le Options -Indexes C'est une recommandation minimale de sécurité Lien vers le commentaire Partager sur d’autres sites More sharing options...
MrPierre Posté 20 Septembre 2010 Auteur Partager Posté 20 Septembre 2010 Donc il y a une différence entre ne pas montrer ses urls et faire un RewriteRule ?! J'ai pas encore testé à vrai dire, mais il me semble que les pages pourront toujours puiser dans exemple.js. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant