Aller au contenu

Sujets conseillés

Posté

Salut à tous !

Dites j'ai un souci avec mes permissions : lorsque je mets tout un répertoire en 711, tout le monde y a accès alors que la lecture ne devrait être autorisée qu'au webmaster. J'ai essayé de la même façon de bloquer l'accès à certaines pages (genre un fichier css ou php contenant des fonctions), et si je les "bloque", les pages qui devraient charger ce contenu ne peuvent y accéder.

Qu'en est-il finalement ? Quelles permissions rendent le site navigable mais interdit l'accès direct à certaines pages "techniques" ?

Merci d'éclairer ma lanterne :)

Posté

Ce sont uniquement les droits du système de fichiers que tu modifies comme cela : pas les droits du navigateur !

Tu devras développer des fonctionnalités en PHP, pour bloquer ce genre de pages.

Posté

Donc pour le répertoire, créer une page d'index par exemple. Et pour les pages de script, bloquer l'accès aux non-admins...

A priori ça me dérange pas trop que l'on puisse voir mes scripts, mais n'est-ce point dangereux ?

Posté

En toute logique, personne ne peut voir tes scripts PHP : ils sont interprétés par le serveur avant d'être envoyés au navigateur (Il faut bien TOUJOURS les nommer en .php, pas en .inc).

Seuls les JavaScripts (et de manière générale, tout ce qui est envoyé au navigateur) ne peuvent pas être masqués.

Posté

Oui et les css. Non mais figure toi qu'un programmeur a rejoint notre équipe (bénévolement) il y a peu, et qu'avant qu'il ai eu accès à tous les fichiers, il savait déjà donner leur look et leurs fonctions à plusieures pages sur lesquelles on lui avait demandé de bosser.

Si un tordu souhaite copier le site, tout est à disposition donc...

Posté

Bah en tout cas les balises html sont à disposition + les fichiers de script js + le css.

Ca fait déjà beaucoup, mais à nouveau, c'est un peu pour ça que je poste ce topic : y a-t-il des risques quelconques, en sachant que de toute manière le php et autre requêtes SQL ou Perl ne sont pas affichables.

Posté

Bonjour,

aucun risque à ce que les HTML/CSS/JavaScripts soient accessibles
Il est même techniquement impossible que ces fichiers soient gardés secrets et, en même temps, accessibles au navigateur des visiteurs (c'est à ça qu'ils servent!).

Par contre, cacher le contenu des répertoires est une bonne pratique. Cela se fait au moyen de la config Apache ou d'un fichier .htaccess :

Options -Indexes

Jean-Luc

Posté
Ok, j'ai tout de même créer un index.php pour mon sous répertoire :)

Et donc tu vas mettre un fichier index.php dans tous tes répertoires pour empêcher le listing de ceux-ci ?

Le mieux est de placer un fichier .htaccess à la racine avec :

Options -Indexes

Empêchera le listing de tous les répertoires :)

Pour plus d'infos sur le fichier .htaccess, lire Le fichier .htaccess (publication du Hub).

Posté

Oui je venais justement d'y penser ! Je comptais faire un truc du genre

RewriteRule ^fichier.js$ / [R=404]

.

Et sinon, qu'entends-tu par listing Ernestine ?

Posté
Et sinon, qu'entends-tu par listing Ernestine ?

Il m'a semblé que ton souci, c'était d'empêcher que les gens puissent appeler des scripts sur ton serveur sans y être autorisé. La première chose à faire est donc de leur empêcher de connaître le nom des fichiers, et donc les empêcher de voir le contenu des répertoires (faire le listing) en tapant l'url du répertoire dans leur navigateur. C'est à cela que sert le Options -Indexes

C'est une recommandation minimale de sécurité ;)

Posté

Donc il y a une différence entre ne pas montrer ses urls et faire un RewriteRule ?!

J'ai pas encore testé à vrai dire, mais il me semble que les pages pourront toujours puiser dans exemple.js.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...