.htaccess chez free : faille de sécurité ? - Programmation
Marsh Posté le 10-07-2002 à 10:52:27
manu025 a écrit a écrit : t'es parano non |
non je crois pas, si je donne un acces a des infos et que la personne peut acceder a la liste de tous les comptes, je pense que c un peu grave
c comme si en te donnant ton code de carte bleue, ta banque te donnait aussi tous ceux de ses autres clients.....
enfin si t'as rien de plus constructif, tu n'es pas obligé de perdre ton tps sur ce post non plus
Marsh Posté le 10-07-2002 à 11:56:26
tu interdit l'accés au fichier .htaccess et tu mets ton fichier des mots de passe dans un répertoire interdit à tous.
Marsh Posté le 10-07-2002 à 12:01:41
à la limite, c pas trop grave de voir ton .htaccess. C surtout le htpasswd qui craint, paske un petit uudecode dessus, et zou, tous les pass!
mais ça m'étonne quand même, paske les derniers apache (enfin depuis un moment déjà) son config pour qu'on ne puisse pas avoir accès au .htaccess et consort! donc si c pas fait chez free, ça veut dire que leur apache date de mathusalem ou est mal configuré!
Marsh Posté le 10-07-2002 à 12:16:00
Tu mets ça dans chaque .htaccess :
Code :
|
Marsh Posté le 10-07-2002 à 12:18:48
Ce morceau de code provient du httpd.conf de mon Apache livré avec EasyPHP.
Je l'ai copié dans chaque .htaccess que j'ai sur mon site sur Free. Now plus de pb : dès que l'on veut accéder à un .ht* eh ben erreur !
Marsh Posté le 10-07-2002 à 12:41:08
nico23 : oui mais comment (maintenant c dit plus bas )
arghbis : oui....
dost67 : je teste ça, c impeccable a priori
Marsh Posté le 10-07-2002 à 20:08:53
arghbis a écrit a écrit : à la limite, c pas trop grave de voir ton .htaccess. C surtout le htpasswd qui craint, paske un petit uudecode dessus, et zou, tous les pass! mais ça m'étonne quand même, paske les derniers apache (enfin depuis un moment déjà) son config pour qu'on ne puisse pas avoir accès au .htaccess et consort! donc si c pas fait chez free, ça veut dire que leur apache date de mathusalem ou est mal configuré! |
il est mal configuré simplement (chez moi j'ai pas besoin d'ajouté ca je crois)
edit: un lien utile: http://www.phpfrance.com/tutorials/index.php?id=30
voir aussi la doc d'apache et/ou google sur le .htaccess
Marsh Posté le 10-07-2002 à 10:44:36
j'ai mis en oeuvre la procédure décrite dans leur page d'info mais il y'a une "faille" que je n'arrive pas a couvrir completement
1/ quand un utilisateur n'est pas loggé, aucun pb, on n'accede a rien...
2/ ça se gate des qu'un utilisateur est loggé, car il suffit qu'il fasse http://perso.free.fr/.htaccess pour qu'il voit le contenu de mon fichier .htaccess DONC LE CHEMIN qui mene tout droit au fichier de mot de passe (en clair chez free en plus )
et donc des qu'il a le chemin il peut meme lire ce fichier sans souci
j'ai donc essayé de mettre un .htaccess contenant "deny from all" a la racine du repertoire qui contient la liste de mots de passe et ça ne resoud pas le pb, j'ai donc repris leur script et j'ai mis require USER, sachant que USER n'existe pas, donc la ok, on ne voit plus la liste de mots de passe meme loggé sur le site
PAR CONTRE ON VOIT TJRS LE .htaccess a la racine et je ne sais pas comment empecher ça !!!!
Message édité par Runner10 le 10-07-2002 à 10:46:00