Bloquer l'accès à un répertoire sans bloquer ses pages

[MrPierre]

Salut à tous !

Dites j'ai un souci avec mes permissions : lorsque je mets tout un répertoire en 711, tout le monde y a accès alors que la lecture ne devrait être autorisée qu'au webmaster. J'ai essayé de la même façon de bloquer l'accès à certaines pages (genre un fichier css ou php contenant des fonctions), et si je les "bloque", les pages qui devraient charger ce contenu ne peuvent y accéder.

Qu'en est-il finalement ? Quelles permissions rendent le site navigable mais interdit l'accès direct à certaines pages "techniques" ?

Merci d'éclairer ma lanterne

[captain_torche]

Ce sont uniquement les droits du système de fichiers que tu modifies comme cela : pas les droits du navigateur !

Tu devras développer des fonctionnalités en PHP, pour bloquer ce genre de pages.

[MrPierre]

Donc pour le répertoire, créer une page d'index par exemple. Et pour les pages de script, bloquer l'accès aux non-admins...

A priori ça me dérange pas trop que l'on puisse voir mes scripts, mais n'est-ce point dangereux ?

[captain_torche]

En toute logique, personne ne peut voir tes scripts PHP : ils sont interprétés par le serveur avant d'être envoyés au navigateur (Il faut bien TOUJOURS les nommer en .php, pas en .inc).

Seuls les JavaScripts (et de manière générale, tout ce qui est envoyé au navigateur) ne peuvent pas être masqués.

[MrPierre]

Oui et les css. Non mais figure toi qu'un programmeur a rejoint notre équipe (bénévolement) il y a peu, et qu'avant qu'il ai eu accès à tous les fichiers, il savait déjà donner leur look et leurs fonctions à plusieures pages sur lesquelles on lui avait demandé de bosser.

Si un tordu souhaite copier le site, tout est à disposition donc...

[captain_torche]

Je ne comprends pas : comment le code source pourrait-il être à disposition ?

[MrPierre]

Bah en tout cas les balises html sont à disposition + les fichiers de script js + le css.

Ca fait déjà beaucoup, mais à nouveau, c'est un peu pour ça que je poste ce topic : y a-t-il des risques quelconques, en sachant que de toute manière le php et autre requêtes SQL ou Perl ne sont pas affichables.

[captain_torche]

Non, aucun risque à ce que les HTML/CSS/JavaScripts soient accessibles : en toute logique, il n'y a strictement rien de confidentiel dedans.

[MrPierre]

Ok, j'ai tout de même créer un index.php pour mon sous répertoire

Merci la_torche, a++

[Jeanluc]

Bonjour,

aucun risque à ce que les HTML/CSS/JavaScripts soient accessibles

Il est même techniquement impossible que ces fichiers soient gardés secrets et, en même temps, accessibles au navigateur des visiteurs (c'est à ça qu'ils servent!).

Par contre, cacher le contenu des répertoires est une bonne pratique. Cela se fait au moyen de la config Apache ou d'un fichier .htaccess :

Options -Indexes

Jean-Luc

[Ernestine]

Ok, j'ai tout de même créer un index.php pour mon sous répertoire

Et donc tu vas mettre un fichier index.php dans tous tes répertoires pour empêcher le listing de ceux-ci ?

Le mieux est de placer un fichier .htaccess à la racine avec :

Options -Indexes

Empêchera le listing de tous les répertoires

Pour plus d'infos sur le fichier .htaccess, lire Le fichier .htaccess (publication du Hub).

[MrPierre]

Oui je venais justement d'y penser ! Je comptais faire un truc du genre

RewriteRule ^fichier.js$ / [R=404]

.

Et sinon, qu'entends-tu par listing Ernestine ?

[captain_torche]

Surtout pas : tu empêcherais le navigateur d'afficher les fichiers !

Sinon, le listing d'un répertoire, c'est l'affichage du contenu en l'absence de fichier index.

[Ernestine]

Et sinon, qu'entends-tu par listing Ernestine ?

Il m'a semblé que ton souci, c'était d'empêcher que les gens puissent appeler des scripts sur ton serveur sans y être autorisé. La première chose à faire est donc de leur empêcher de connaître le nom des fichiers, et donc les empêcher de voir le contenu des répertoires (faire le listing) en tapant l'url du répertoire dans leur navigateur. C'est à cela que sert le Options -Indexes

C'est une recommandation minimale de sécurité

[MrPierre]

Donc il y a une différence entre ne pas montrer ses urls et faire un RewriteRule ?!

J'ai pas encore testé à vrai dire, mais il me semble que les pages pourront toujours puiser dans exemple.js.