Jump to content
Sign in to follow this  
recherche_webmaster

placer les fichiers en dehors de www

Rate this topic

Recommended Posts

Bonjour,

J'ai lu sur plusieurs site qu'il était souhaitable de placer le dossier contenant les scripts en dehors du répertoire www, pour la sécurité.

Alors je l'ai fait, mais j'aimerais bien que l'on m'explique un peu plus pourquoi si ce n'est point trop demander.

Aussi je voulais savoir si il est nécessaire/possible de placer TOUT ses dossiers en dehors de www.

Et si l'on doit en plus placer un fichier .htaccess pour les dossiers en dehors de www, ainsi que dans le dossier image si on ne peut pas le placer en dehors de www.

Bref ce n'est pas une question technique, rien n'est très difficile c'est un peu de théorie ça ne peut pas faire de mal je crois.

merci d'avance pour vos réponses

Share this post


Link to post
Share on other sites

En général tout ce qui n'est pas dans www n'est pas accessible par un visiteur sur ton site.

Du coup cela empeche une utilisation frauduleuse de tes scripts en essayant de les appeler directement.

tu obtiens le me resultat avec un deny from all des repertoires contenant tes scripts "sensible" (dans le cas ou tu n'as pas possibilite de mettre des ficheirs en dehors du www, ex chez fre ;) )

Edited by rportal

Share this post


Link to post
Share on other sites

tu obtiens le me resultat avec un deny from all des repertoires contenant tes scripts "sensible" (dans le cas ou tu n'as pas possibilite de mettre des ficheirs en dehors du www, ex chez fre  )

Tu veux dire qu'un htpassword dans le dossier couplé à une ligne dans le htaccess à la racine donne le même effet que de tout sortir du répertoire www?

Share this post


Link to post
Share on other sites

non en fait un .htaccess avec un deny from all dans les repertoires desires.

tu proteges comme cela des scripts qui sont appelés par d'autres scripts : librairie de fonction, classes, etc...

Ceux sont des scripts qui ne sont pas destines a etre appele directement.

Share this post


Link to post
Share on other sites

C'est une question comme ca pour savoir si ca ne gène pas.Sinon j'ai un problème avec le .htaccess,j'ai installé correctement tout mon serveur chez moi,mais quand je met un .htaccess dans un dossier,ca n'en tient pas compte. :blink:

Share this post


Link to post
Share on other sites

Salut,

pour proteger tes données, il te faut faire un fichier ".htaccess" situé dans le dossier à protéger, et d'écrire dans celui-ci :

deny from all

les sous-dossiers seront automatiquement protégé.

Ne met pas ce fichier à la racine de ton site, ou dans un dossier contenant des scripts pouvant (et devant) être appelés par une url (par tes visiteurs).

Pour les images, ne met pas de fichier htaccess dans le dossier, sinon, elles ne seront pas affichées sur le naviguateur du client.

PS: tu ne peut pas "tous" sortir du dossier "www", sinon, ton site ne sera pas visible sur le net ;)

@+ oxyd

Edited by oxyd-x

Share this post


Link to post
Share on other sites
C'est une question comme ca pour savoir si ca ne gène pas.Sinon j'ai un problème avec le .htaccess,j'ai installé correctement tout mon serveur chez moi,mais quand je met un .htaccess dans un dossier,ca n'en tient pas compte. :blink:

<{POST_SNAPBACK}>

Lorsque tu place un nouveau htaccess dans un dossier, tu doit redémarrer Apache pour qu'il prenne en compte les modifications ;)

Vérifie aussi qu'Apache autorise la lecture de htaccess dans ta config

@+ oxyd-x

Share this post


Link to post
Share on other sites

Pour les images, ne met pas de fichier htaccess dans le dossier, sinon, elles ne seront pas affichées sur le naviguateur du client.

Alors comment font ceux qui empêche que l'on ouvre directement le contenu du fichier images dans le navigateur en tappant dans l'url www.monsite.com/images et hop on a toute la liste !

j'ai bien lu que l'on pouvait mettre un htaccess dans le dossier images, alors qui se trompe ? ou j'ai mal compris peut être.

Ne met pas ce fichier à la racine de ton site, ou dans un dossier contenant des scripts pouvant (et devant) être appelés par une url (par tes visiteurs).

Bon je veux bien mais c'est un coup à gauche un coup à droite, les uns disent de le faire, toi non. Alors faut faire quoi? Quel est le problème ?

Share this post


Link to post
Share on other sites

Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ?

Share this post


Link to post
Share on other sites

Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ?

euh c'est mon post hein

Share this post


Link to post
Share on other sites

Re ;)

Alors, on va regler tes 2 problémes en une fois :

créer un fichier htaccess à la RACINE du site, et tu inscrit dedans :

Options -Indexes +FollowSymLinks
RewriteEngine On
RewriteBase /

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://www.tondomaine.com/.*$ [NC]
ReWriteRule .*\.(gif|png|jpe?g)$ - [F]

ensuite, tu ajoute un fichier "index.html" qui ne contient rien dans le dossier contenant des images (/images/) ;)

comme ça, si quelqu'un "tombe" sur l'url de l'image, il ne verra pas la liste ;) et en plus, tes images ne pourront pas être "pompées" à partir d'un autre site.

Enfin, pour le htaccess à la racine du site, c'est faisable, mais IL NE FAUT PAS mettre "deny from all" , sinon, tu refuse l'accès de ton site à tous ! (deny from all : refus de tous)

;)

Share this post


Link to post
Share on other sites

Ah maintenant il y a des posts marqué XX,dans le titre tu aurais du mettre poste de recherche_webmaster on ne parle de rien d'autre,je te signales plus que mes questions correspondent au titre de ton sujet et que donc elle ne peuve que t'aider.

Donc voilà.J'ai rien de plus à dire.

Sinon pour ce qui est de bloquer à la lecture le répertoire,on peut mettre ce code ci dans httpd.conf:

<Directory "c:/serveur/www/tondossier">
Options -Indexes
</Directory>

Edited by snwoman49

Share this post


Link to post
Share on other sites
Un autre problème dans ma configuration,j'ai mis un fichier php en dehors du répertoire www quand je l'éxécute rien est pris en compte.Suis je vraiment obliger de mettre mes fichiers php html ou autre sans www ?

<{POST_SNAPBACK}>

désolé, je n'ai pas saisie le sens de ta question ;

si tu désires utilisé un script php en dehors du www, vérifie que ta config ne bloque pas sur des valeurs "safe_mode" / "document_root" / ....

Share this post


Link to post
Share on other sites

Ah maintenant il y a des posts marqué XX

Disons que le but d'un post est quand même à la base de discuter du sujet initial et de répondre un peu à la personne qui l'a initié.

Enfin on va pas se battre pour ça, mais tes questions à mes questions elle ne m'éclaire pas du tout et je ne distingue même plus dans les réponses celles qui sont pour moi ou pour toi.

C'est la vie tu me diras.

Edited by recherche_webmaster

Share this post


Link to post
Share on other sites
Bonjour,

J'ai lu sur plusieurs site qu'il était souhaitable de placer le dossier contenant les scripts en dehors du répertoire www, pour la sécurité.

On l'a dit aussi sur le Hub :D

euh c'est mon post hein

Tu t'es déjà immiscé dans des sujets qui n'étaient pas les tiens comme celui-ci par exemple ;)

Merci de ne pas 'agresser' les intervenant du forum, alors que l'équipe de modération fait preuve envers toi de beaucoup de gentillesse en te laissant les droits d'écriture de ton 3ème compte.

Si tu souhaites répondre à ceci: MP.

** fin du hors-sujet **

Pour en revenir à la question initiale, il est nécessaire de placer les fichiers "sensibles" en dehors de l'espace web. Les seuls fichiers concernés sont (grosso modo) les fichiers de configuration ou tout autre fichier contenant mots de passes, nom de la BDD etc etc..

Les autres fichiers sont à mettre dans l'espace web.

Les fichiers .htaccess sont totalement inactifs en dehors de l'espace web, par définition.

Voilà.

snwoman: les fichiers PHP destinés à être exécutés sont à mettre dans l'espace web obligatoirement. Seuls ceux destinés à être 'lu en interne' par d'autres fichiers PHP (exemple-type: les fichiers de configuration) peuvent être mis hors de l'espace web.. en fait ils doivent même être en dehors de www.

Share this post


Link to post
Share on other sites

et dans le fichier image l'on place un .htaccess ou pas alors?

Sans m'étaller sur le sujet, la conversion que j'ai reprise je l'ai reprise alors qu'elle était archi fermé par celui qui l'a initié mais bon.

pour le troisième compte g pas compris.

Share this post


Link to post
Share on other sites

Merci dudu,je me disais aussi,le language n'étais pas lu..

Sinon recherche webmaster si tu as accès a Apache tu va dans conf->httpd-> et tu mets à la fin

<Directory "c:/serveur/www/tondossier">

Options -Indexes

</Directory>

Le options-Indexes siginifie que s'il n'y a pas un des fichiers signifier dans DirectoryIndex alors cela renverra comme message:

Forbidden

You don't have permission to access /tondossier/ on this server.

Si tu veux que le contenu sois visible tu enlèves le - avec Indexes.

Voila j'espère avoir répondu à ta question,oublie pas de redémarrer apache ensuite...

Share this post


Link to post
Share on other sites

Merci pour ta réponse.

Je travaille directement sur le serveur mutualisé.

j'ai posé la question au technicien d'ovh qui m'a dit d'utiliser :

ini_set("register_global","0")

je lui ai demandé où, j'attend la réponse.

Alors j'ai essayé ça, carrément au pif :

<?php ini_set("register_global","0") ; ?>

que j'ai placé tout en haut de l'index.php au dessus du <html>

Bien sur aucun résultat, le phpinfo m'indique toujours un register_global à on.

Share this post


Link to post
Share on other sites

Arf d'accord donc ma solution n'est pas possible,c'est ce que j'utilise moi et je trouve que c'est la plus simple...

Donc ta seul alternative est le .htaccess

Edited by snwoman49

Share this post


Link to post
Share on other sites

Essaie de mettre ca dans ton .htaccess.

<Files>
AuthName AccesRestreint
AuthType Basic

<limit GET POST>
order deny,allow
deny from all
allow from .enst.fr
require group intranet
satisfy all
</Limit>


</Files>

Edited by snwoman49

Share this post


Link to post
Share on other sites

l'option de configuration n'est pas : register_global

mais register_globals

Essaies ceci :

<?php ini_set("register_globals","0") ; ?>

ou cela

<?php ini_set("register_globals","1") ; ?>

et tu verras que ca changera la configuration serveur ;)

Share this post


Link to post
Share on other sites
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...