Les Forums

Les Forums

Les forums sont fermés. Ils restent présent pour consultation et archivage.
Vous pouvez désormais poser vos questions directement dans les commentaires en bas de chaque page du site.
Alors n'hésitez pas à participer

.htaccess

Bonjour,

Peut on faire confiance à la sécurité des fichiers .htaccess ?
J'ai déposé le fichier .htaccess dans tous les répertoires à protéger, ils pointent tous sur le fichier qui contient les ID et mot de passe.
Ce fichier de mot de passe est dans un répertoire protéger par un .htaccess qui contient un [i:ce485b2335]Denied from all
Est ce que je peux considérer avoir protégé correctement mon site, ou existe t il des moyens pour casser cette protection ?

Merci
MaxKweeger
La faille ne vient pas forcément du htaccess en lui meme mais le plus souvent d'une autre partie du site..
As-tu par exemple un script d'upload de fichier ?
As-tu par exemple un code qui va lire d'autres fichiers sur ton serveur (conf..) ?
etc.

La question est : pourquoi veut tu protéger ces répertoires ?
Qui peut y avoir accès ? Qui ne doit pas ?
un internaute lambda en se baladant / un peu curieux qui fouille ?
Parfois la manière la plus simple de protéger est de simplement mettre un index.html vide !!
Bonjour JeremyA,

Pour répondre à ta question je souhaite mettre en place un album photos privée entre les membres de ma famille et je n'est pas envie que d'autres personnes non invité puissent venir les voir.

Effectivement en plus de la protection htaccess j'ai mis des index.html vide.
Mais je me disais qu'il était peut être possible de scanner le répertoire d'un site web pour voir les fichiers et répertoires qu'il contient.

J'ai également mis des robot.txt pour demander aux robots d'indexation de ne rien indexer ici.

Je compte faire un module d'upload en Flex qui appèlera des scripts PHP. Donc normalement c'est scripts ne pourront pas être appelés directement grâce aux htaccess pour éviter les injections de code par exemple.

Voila, je pense avoir donné plus de detail sur ce que je souhaite mettre en place.

D'où ma question, est ce que je peut vraiment faire confiance à ces fichiers htaccess

Merci JeremyA
++

MaxKweeger
Salut,


La meilleure idée serait peut etre d'établir un login/pass web (comme bcp de site d'achat en ligne par ex.), non ?

Effectivement en plus de la protection htaccess j'ai mis des index.html vide.
L'index.html ne sera pas accessible à cause du htaccess..


Mais je me disais qu'il était peut être possible de scanner le répertoire d'un site web pour voir les fichiers et répertoires qu'il contient.
Les outils utilisés pour le scanning se servent de brute force et/ou de dictionnaires. SI tu n'utilise pas de nom de répertoire classique, il y a très peu de chance que qqun y accède.


J'ai également mis des robot.txt pour demander aux robots d'indexation de ne rien indexer ici.

!! NON !! Imagine, si un crawler type google sait lire ton fichier robots.txt, un humain peut aussi le lire, et donc connaitre les repertoires que tu veux cacher !
C'est comme si tu écrivais sur un pancarte devant ta maison : "messieurs les cambrioleurs mon argent est dans ma chambre mais n'y aller pas svp" .....
De plus, c'est illogique, car le crawler ne sait pas à l'avance quels sont tes répertoires, donc une fois de plus, tu va dire au lecteur du robots.txt que tu as des répertoire mais qu'il ne faut pas y aller....


A voir comment c'est codé.
Hello, Can we trust the security of .htaccess files? I filed the .htaccess in every directory to protect file, they all point to the file that contains the ID and password.
La question est : pourquoi veut tu protéger ces répertoires ?