Piwigo.org

rub · 2006-07-18 23:40:36

J'ai mis en place les fichiers index.php dans BSF et branch_1.6.

Et pour le .htaccess que fait-on?

nicolas · 2006-07-18 23:53:10

Je vais tenter de répondre à tout le monde. La syntaxe des .htaccess n'est pas si comliqué que cela.
Ce qu'il faut savoir est qu'un fichier .htaccess n'influe que la sous arborescence dans laquelle il est (jamais au dessus!)
Pour interdire de lister les sous répertoires d'une sous-arborescence il suffit d'y ajouter la ligne suivante:

Code:

Options -Indexes

Pour interdire l'accès total à un répertoire il suffit d'ajouter: (utile pour le répertoire include notament)

Code:

deny from all

Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Pour la question des expressions régulières dans les htaccess ce n'est que pour les cas où l'on veut faire des réécritures d'url. Rien à voir avec la restriction d'accès.

rub · 2006-07-19 00:03:48

nicolas a écrit:
Je vais tenter de répondre à tout le monde. La syntaxe des .htaccess n'est pas si comliqué que cela.
Ce qu'il faut savoir est qu'un fichier .htaccess n'influe que la sous arborescence dans laquelle il est (jamais au dessus!)
Pour interdire de lister les sous répertoires d'une sous-arborescence il suffit d'y ajouter la ligne suivante:
Code:
Options -Indexes
Pour interdire l'accès total à un répertoire il suffit d'ajouter: (utile pour le répertoire include notament)
Code:
deny from all

Et si on veut rediriger vers une page, comment peut-on faire?

nicolas a écrit:
Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Tout à fait, d'accord, c'est pourquoi j'ai envie de mettre en place le système de .htaccess.
Les index.php n'étant la que pour les configs non apache ou non avec .htaccess non disponible et non voulu.

L'idée de créer le .htaccess lors de l'install et l'upgrade vous conviennent? Avez-vous d'autres idée?

nicolas · 2006-07-19 00:14:10

rub a écrit:
Et si on veut rediriger vers une page, comment peut-on faire?

Code:

Redirect /url_d_origine /url_redirigée

mathiasm · 2006-07-19 01:37:36

nicolas a écrit:
Ce qui me gêne dans la solution choisie est que l'on ne bloque par réellement le répertoire (notament include). Il est donc en théorie (je n'ai pas vérifié pour l'ensemble) possible d'éxécuter des scripts dans ce répertoire.

Il n'y a normalement aucun script "autonome" dans include.
Ils sont tous à la racine ou dans admin. Et il faut bien pouvoir les lancer, puisqu'ils servent. Les vérifications dans les fichiers .php (if !defined in_PWG) me paraissent suffisantes pour lkimiter une exécution "pirate".

hpsam · 2006-07-19 09:18:32

Pour éviter le listage des photos dans le répertoires galeries, un .htaccess avec dedans:
IndexIgnore *.gif *.jpg *.png (sera selectif
Options -Indexes (cachera tout

Pour éviter l'execution de script non autonome, l'ajout de cela au début du code l'évitera :

if (stristr($_SERVER["SCRIPT_NAME"], "nom_du_fichier.php")) {
header("location:../index.php");
die();
}

au lieu de faire des redirections par htaccess, mieux vaut des index.php dans chaque répertoire avec dedans un
header("location:../index.php");

Au niveau sécurité, rajouter un .htaccess pour bloquer par mot de passe Apache l'admin est un plus, mais doit être laissé à la discrétion des utilisateurs avertis car pas mal d'hébergeur dont Free ont bidouillé le sytème et il serait difficile d'avoir un .htaccess compatible tout hébergeur.

plg · 2006-07-19 12:15:47

Je ne comprends pas l'intérêt de la présence des index.php dans chaque sous répertoire de l'application. Qu'est-ce que ça peut bien apporter en terme de sécurité ?

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

rub · 2006-07-19 13:43:48

z0rglub a écrit:
Je ne comprends pas l'intérêt de la présence des index.php dans chaque sous répertoire de l'application. Qu'est-ce que ça peut bien apporter en terme de sécurité ?

D'un point de vue purement sécurité par forcement grand chose mais ca permet d'avoir une certains uniformités avec ce qui était fait index.html et c'est vrai plus propre (et non sécurisé bien sur) de rediriger vers l'index de base lors d'un accés à un répertoire.

Bien entendu, c'est le répertoire gallerie, le plus important, et c'est pour ca qu'en complément, on veut mettre aussi le .htaccess

vimages · 2006-07-19 13:47:00

juste pour dire que j'approuve à 200% !

merci,
éric.

flipflip · 2006-07-19 13:48:30

L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

Certe mais pas forcement compatible avec tout les hébergeurs.

rub · 2006-07-19 13:48:36

z0rglub a écrit:
L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.

La génération de ce fichier lors de l'installation et de l'upgrade avec une demande te convient?
Si oui, faut-il mettre un $conf en base ou php pour préciser que c'est PWG qui gére le fichier .htaccess.
Notamment pour des mises à jours éventuelles!

hpsam · 2006-07-19 14:11:09

Salut,

Le index.php ne joue pas vraiment sur la sécurité, mais chez un hébergeur ou le .htaccess est bridé, il renverra celui qui tente d'afficher la liste des photos à la page d'accueil.

Le index.php fonctionnera partout où fonctionne PWG. Le .htaccess n'est pas garanti fonctionnel à 100% chez la majeur partie des hébergeurs gratuits.

plg · 2006-07-19 14:39:02

rub a écrit:
z0rglub a écrit:
L'important, c'est de protéger les sous-répertoires de "galleries", et là seul un "options -Indexes" dans un .htaccess sera efficace.
La génération de ce fichier lors de l'installation et de l'upgrade avec une demande te convient?
Si oui, faut-il mettre un $conf en base ou php pour préciser que c'est PWG qui gére le fichier .htaccess.
Notamment pour des mises à jours éventuelles!

Je ne vois pas l'intérêt de créer ce fichier à l'installation. Il en suffit d'un dans le répertoire "galleries". On peut le mettre en dur dans la release officielle éventuellement.

Pour ce qui est de l'upgrade, comme on dit qu'il faut conserver son ancien répertoire "galleries", ceux qui nous suivent depuis longtemps n'auront pas automatiquement de fichier .htaccess automatiquement. Je ne suis pas très favorable à la création automatique de ce fichier par demande dans l'administration par exemple. On dérive un peu trop de l'objectif de PhpWebGallery. On peut créer une section "sécurité" dans le wiki, mais ça suffit.

rub · 2006-07-19 15:04:20

z0rglub a écrit:
Je ne vois pas l'intérêt de créer ce fichier à l'installation.

Pour éviter d'en écraser un déjà présent.

z0rglub a écrit:
Il en suffit d'un dans le répertoire "galleries". On peut le mettre en dur dans la release officielle éventuellement.

Dans "galleries", pas à la racine des sources?

z0rglub a écrit:
Pour ce qui est de l'upgrade, comme on dit qu'il faut conserver son ancien répertoire "galleries", ceux qui nous suivent depuis longtemps n'auront pas automatiquement de fichier .htaccess automatiquement. Je ne suis pas très favorable à la création automatique de ce fichier par demande dans l'administration par exemple. On dérive un peu trop de l'objectif de PhpWebGallery.

C'est pas l'administration que je pensais mais dans lors de l'installation ou la mise à jour.
Mais, c'est vrai qu'on derive un peu...

z0rglub a écrit:
On peut créer une section "sécurité" dans le wiki, mais ça suffit.

Ca, c'est sur...

Donc, on met par défaut un fichier .htaccess dans "galleries" ou à la racine de pwg?

nicolas · 2006-07-19 16:06:25

rub a écrit:
Donc, on met par défaut un fichier .htaccess dans "galleries" ou à la racine de pwg?

Je dirais dans galleries avec "Options -Indexes" et dans include avec "deny from all"

Piwigo.org

Annonce

#16 2006-07-18 23:40:36

Re: index.htm vs index.html vs index.php

#17 2006-07-18 23:53:10

Re: index.htm vs index.html vs index.php

Code:

Code:

#18 2006-07-19 00:03:48

Re: index.htm vs index.html vs index.php

nicolas a écrit:

Code:

Code:

nicolas a écrit:

#19 2006-07-19 00:14:10

Re: index.htm vs index.html vs index.php

rub a écrit:

Code:

#20 2006-07-19 01:37:36

Re: index.htm vs index.html vs index.php

nicolas a écrit:

#21 2006-07-19 09:18:32

Re: index.htm vs index.html vs index.php

#22 2006-07-19 12:15:47

Re: index.htm vs index.html vs index.php

#23 2006-07-19 13:43:48

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

#24 2006-07-19 13:47:00

Re: index.htm vs index.html vs index.php

#25 2006-07-19 13:48:30

Re: index.htm vs index.html vs index.php

#26 2006-07-19 13:48:36

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

#27 2006-07-19 14:11:09

Re: index.htm vs index.html vs index.php

#28 2006-07-19 14:39:02

Re: index.htm vs index.html vs index.php

rub a écrit:

z0rglub a écrit:

#29 2006-07-19 15:04:20

Re: index.htm vs index.html vs index.php

z0rglub a écrit:

z0rglub a écrit:

z0rglub a écrit:

z0rglub a écrit:

#30 2006-07-19 16:06:25

Re: index.htm vs index.html vs index.php

rub a écrit:

Pied de page des forums