Page 1 sur 1
.htaccess et securité
Posté : 25 juin 2008, 13:46
par hakazizi
bonjour
Je vient d'apprendre que laisser son .htaccess en url rewrtting visible representait une menace pour la securite d'un site.
ma question comment faire pour afficher un 404 si quelqu'un ouvre une url du style.
http://www.monsite.com/.htaccess
merci
P.S je ne savait pas ou poster.
Posté : 25 juin 2008, 15:06
par katagoto
Bonjour,
J'aurais mis ça dans Méthodologie et sécurité, bref, ça ne représente pas une menace car le navigateur ne peux pas le lire, en revanche tu peux interdire aux gens de voir ce fichier en ajoutaznt une ligne à ton .htaccess
Désolé, je ne me souviens plus de la commande pour interdir l'accès à un fichier, google est ton amis
Posté : 25 juin 2008, 15:29
par lux
Avec un truc comme ça pour un fichier :
Code : Tout sélectionner
<Files admin.php3>
AuthUserFile /repertoire/de/votre/fichier/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site CCM"
AuthType Basic
<LIMIT GET POST>
require user JFPillou
</LIMIT>
</Files>
Par contre aucune idée si on peut le faire sur l'htaccess lui même
Posté : 25 juin 2008, 15:31
par Calimero
A noter que dans sa configuration par défaut, Apache arrive déjà configuré pour ne pas servir le .htaccess. C'est donc le cas sur tous les bons serveurs web.
Code : Tout sélectionner
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
Posté : 25 juin 2008, 15:44
par hakazizi
le soucis c'est que le mien est visible sous firefox et telecharger sous windows ce qui est encore pire.
Calimero c'est a ajouter dans le php.ini
Code : Tout sélectionner
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
ou il faut modifier quelque chose j'ai peur de foutre mon site en rad et ne plus pouvoir le faire repartir merci
Posté : 25 juin 2008, 15:51
par Calimero
le soucis c'est que le mien est visible sous firefox et telecharger sous windows ce qui est encore pire.
Calimero c'est a ajouter dans le php.ini
Code : Tout sélectionner
#
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<FilesMatch "^\.ht">
Order allow,deny
Deny from all
Satisfy All
</FilesMatch>
ou il faut modifier quelque chose j'ai peur de foutre mon site en rad et ne plus pouvoir le faire repartir merci
Non, ça vient de mon httpd.conf (fichier de conf d'apache).
EDIT : si la configuration de ton serveur le permet, ça peut aussi marcher dans un .htaccess.
Posté : 25 juin 2008, 19:36
par hakazizi
merci je vais le mettre dans le htaccess comme sa si ily a le moindre soucis c'est vite fait a corriger
edit:
on n'est rediriger et on ne vois plus ce qu'il y a sur le .htaccss et j'aurais preferez dire que la page n'existe pas merci.
Posté : 27 juin 2008, 13:42
par hakazizi
il n'y a vraiement pas de solution pour afficher une erreur 404.
Posté : 27 juin 2008, 14:35
par Calimero
on n'est rediriger et on ne vois plus ce qu'il y a sur le .htaccss et j'aurais preferez dire que la page n'existe pas merci.
Je t'ai donné un bout de configuration qui te permet d'isoler les fichiers problématiques et de déclencher une réponse négative du serveur si l'utilisateur y accède (ce qui répond au besoin que tu exprimais au départ). Rien ne t'empêche de l'adapter pour envoyer une erreur 404. Il faut te prendre par la main et aller lire
la documentation de ton serveur apache pour comprendre ce que cette configuration fait et ce qu'il te reste à faire.
Allez, un petit effort
