#16 2006-07-18 23:40:36

rub
Former Piwigo Team
Lille
2005-08-26
5239

Re: index.htm vs index.html vs index.php

J'ai mis en place les fichiers index.php dans BSF et branch_1.6.

Et pour le .htaccess que fait-on?

Hors ligne

#17 2006-07-18 23:53:10

nicolas
Former Piwigo Team
2004-12-30
1565

Re: index.htm vs index.html vs index.php

Je vais tenter de répondre à tout le monde. La syntaxe des .htaccess n'est pas si comliqué que cela.
Ce qu'il faut savoir est qu'un fichier .htaccess n'influe que la sous arborescence dans laquelle il est (jamais au dessus!)
Pour interdire de lister les sous répertoires d'une sous-arborescence il suffit d'y ajouter la ligne suivante:

Code:

Options -Indexes

Pour interdire l'accès total à un répertoire il suffit d'ajouter: (utile pour le répertoire include notament)

Code:

deny from all

Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Pour la question des expressions régulières dans les htaccess ce n'est que pour les cas où l'on veut faire des réécritures d'url. Rien à voir avec la restriction d'accès.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#18 2006-07-19 00:03:48

rub
Former Piwigo Team
Lille
2005-08-26
5239

Re: index.htm vs index.html vs index.php

nicolas a écrit:

Je vais tenter de répondre à tout le monde. La syntaxe des .htaccess n'est pas si comliqué que cela.
Ce qu'il faut savoir est qu'un fichier .htaccess n'influe que la sous arborescence dans laquelle il est (jamais au dessus!)
Pour interdire de lister les sous répertoires d'une sous-arborescence il suffit d'y ajouter la ligne suivante:

Code:

Options -Indexes

Pour interdire l'accès total à un répertoire il suffit d'ajouter: (utile pour le répertoire include notament)

Code:

deny from all

Et si on veut rediriger vers une page, comment peut-on faire?

nicolas a écrit:

Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Tout à fait, d'accord, c'est pourquoi j'ai envie de mettre en place le système de .htaccess.
Les index.php n'étant la que pour les configs non apache ou non avec .htaccess  non disponible et non voulu.

L'idée de créer le .htaccess  lors de l'install et l'upgrade vous conviennent? Avez-vous d'autres idée?

Hors ligne

#19 2006-07-19 00:14:10

nicolas
Former Piwigo Team
2004-12-30
1565

Re: index.htm vs index.html vs index.php

rub a écrit:

Et si on veut rediriger vers une page, comment peut-on faire?

Code:

Redirect /url_d_origine /url_redirigée

Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#20 2006-07-19 01:37:36

mathiasm
Former Piwigo Team
2006-02-06
2692

Re: index.htm vs index.html vs index.php

nicolas a écrit:

Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Il n'y a normalement aucun script "autonome" dans include.
Ils sont tous à la racine ou dans admin. Et il faut bien pouvoir les lancer, puisqu'ils servent. Les vérifications dans les fichiers .php (if !defined in_PWG) me paraissent suffisantes pour lkimiter une exécution "pirate".

Hors ligne

#21 2006-07-19 09:18:32

hpsam
Membre
Gap
2005-06-28
111

Re: index.htm vs index.html vs index.php

Pour éviter le listage des photos dans le répertoires galeries, un .htaccess avec dedans:
IndexIgnore *.gif *.jpg *.png (sera selectif
Options -Indexes (cachera tout

Pour éviter l'execution de script non autonome, l'ajout de cela au début du code l'évitera :

if (stristr($_SERVER["SCRIPT_NAME"], "nom_du_fichier.php")) {
  header("location:../index.php");
  die();
}

au lieu de faire des redirections par htaccess, mieux vaut des index.php dans chaque répertoire avec dedans un
header("location:../index.php");

Au niveau sécurité, rajouter un .htaccess pour bloquer par mot de passe Apache l'admin est un plus, mais doit être laissé à la discrétion des utilisateurs avertis car pas mal d'hébergeur dont Free ont bidouillé le sytème et il serait difficile d'avoir un .htaccess compatible tout hébergeur.

Hors ligne

#22 2006-07-19 12:15:47

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: index.htm vs index.html vs index.php

Je ne comprends pas l'intérêt de la présence des index.php dans chaque sous répertoire de l'application. Qu'est-ce que ça peut bien apporter en terme de sécurité ?

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#23 2006-07-19 13:43:48

rub
Former Piwigo Team
Lille
2005-08-26
5239

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

Je ne comprends pas l'intérêt de la présence des index.php dans chaque sous répertoire de l'application. Qu'est-ce que ça peut bien apporter en terme de sécurité ?

D'un point de vue purement sécurité par forcement grand chose mais ca permet d'avoir une certains uniformités avec ce qui était fait index.html et c'est vrai plus propre (et non sécurisé bien sur) de rediriger vers l'index de base lors d'un accés à un répertoire.


Bien entendu, c'est le répertoire gallerie, le plus important, et c'est pour ca qu'en complément, on veut mettre aussi le .htaccess

Hors ligne

#24 2006-07-19 13:47:00

vimages
Membre
2004-03-27
2429

Re: index.htm vs index.html vs index.php

juste pour dire que j'approuve à 200% !

merci,
éric.

Hors ligne

#25 2006-07-19 13:48:30

flipflip
Membre
Lyon
2005-03-19
2316

Re: index.htm vs index.html vs index.php

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

Certe mais pas forcement compatible avec tout les hébergeurs.


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#26 2006-07-19 13:48:36

rub
Former Piwigo Team
Lille
2005-08-26
5239

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

La génération de ce fichier lors de l'installation et de l'upgrade avec une demande te convient?
Si oui, faut-il mettre un $conf en base ou php pour préciser que c'est PWG qui gére le fichier .htaccess.
Notamment pour des mises à jours éventuelles!

Hors ligne

#27 2006-07-19 14:11:09

hpsam
Membre
Gap
2005-06-28
111

Re: index.htm vs index.html vs index.php

Salut,

Le index.php ne joue pas vraiment sur la sécurité, mais chez un hébergeur ou le .htaccess est bridé, il renverra celui qui tente d'afficher la liste des photos à la page d'accueil.

Le index.php fonctionnera partout où fonctionne PWG. Le .htaccess n'est pas garanti fonctionnel à 100% chez la majeur partie des hébergeurs gratuits.

Hors ligne

#28 2006-07-19 14:39:02

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: index.htm vs index.html vs index.php

rub a écrit:

z0rglub a écrit:

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

La génération de ce fichier lors de l'installation et de l'upgrade avec une demande te convient?
Si oui, faut-il mettre un $conf en base ou php pour préciser que c'est PWG qui gére le fichier .htaccess.
Notamment pour des mises à jours éventuelles!

Je ne vois pas l'intérêt de créer ce fichier à l'installation. Il en suffit d'un dans le répertoire "galleries". On peut le mettre en dur dans la release officielle éventuellement.

Pour ce qui est de l'upgrade, comme on dit qu'il faut conserver son ancien répertoire "galleries", ceux qui nous suivent depuis longtemps n'auront pas automatiquement de fichier .htaccess automatiquement. Je ne suis pas très favorable à la création automatique de ce fichier par demande dans l'administration par exemple. On dérive un peu trop de l'objectif de PhpWebGallery. On peut créer une section "sécurité" dans le wiki, mais ça suffit.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#29 2006-07-19 15:04:20

rub
Former Piwigo Team
Lille
2005-08-26
5239

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

Je ne vois pas l'intérêt de créer ce fichier à l'installation.

Pour éviter d'en écraser un déjà présent.

z0rglub a écrit:

Il en suffit d'un dans le répertoire "galleries". On peut le mettre en dur dans la release officielle éventuellement.

Dans "galleries", pas à la racine des sources?

z0rglub a écrit:

Pour ce qui est de l'upgrade, comme on dit qu'il faut conserver son ancien répertoire "galleries", ceux qui nous suivent depuis longtemps n'auront pas automatiquement de fichier .htaccess automatiquement. Je ne suis pas très favorable à la création automatique de ce fichier par demande dans l'administration par exemple. On dérive un peu trop de l'objectif de PhpWebGallery.

C'est pas l'administration que je pensais mais dans lors de l'installation ou la mise à jour.
Mais, c'est vrai qu'on derive un peu...

z0rglub a écrit:

On peut créer une section "sécurité" dans le wiki, mais ça suffit.

Ca, c'est sur...

Donc, on met par défaut un fichier .htaccess dans "galleries" ou à la racine de pwg?

Hors ligne

#30 2006-07-19 16:06:25

nicolas
Former Piwigo Team
2004-12-30
1565

Re: index.htm vs index.html vs index.php

rub a écrit:

Donc, on met par défaut un fichier .htaccess dans "galleries" ou à la racine de pwg?

Je dirais dans galleries avec "Options -Indexes" et dans include avec "deny from all"


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact