securite d'un fichier de config

Le
octane
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette
arborescence:

index.php
zfiles/
zfiles/ (fichiers)
zdata/
zdata/config.ini
()

Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.

Comment empecher ca?

si ce n'est pas le bon groupe, pouvez vous me rediriger vers
un groupe adequat?

Merci
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Zorglub
Le #22026401
In article wrote:

http://127.0.0.1



MDR
Pierre Goiffon
Le #22026381
wrote:
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette
arborescence:

index.php
zfiles/
zfiles/ (fichiers...)
zdata/
zdata/config.ini
(...)

Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.

Comment empecher ca?



Quel est le serveur utilisé ? Apache ?
L'idée serait d'empêcher l'accès par http au fichier, tout en conservant
l'accès possible à ce fichier par le traitement serveur utilisé par le CMS.
Bruno Baguette
Le #22026371
a écrit :

Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.

Comment empecher ca?



Bonjour !

Au lieu d'utiliser un fichier config.ini, utilisez plutôt un fichier
config.php qui contiendra vos constantes :

<?php

// Fichier de configuration
define('ADMIN_LOGIN','monnom');
define('ADMIN_PASSWORD','monsecret');

?>

Ainsi, vous ne verrez plus le contenu de votre fichier s'afficher si
vous allez sur http://127.0.0.1/zdata/config.php

Ceci dit, si l'objectif final est de restreindre l'accès à un fichier ou
à un répertoire, htaccess me parait plus indiqué.

En espérant que ca aide ! :-)

--
Bruno Baguette -
Bruno Desthuilliers
Le #22026361
Zorglub a écrit :
In article wrote:

http://127.0.0.1



MDR



C'est quoi qui te fais rire, là ? L'OP a bien précisé que c'était une
install en local. Son problème n'est pas comment sécuriser l'install
local, mais comment s'assurer que ce sera sécurisé une fois en prod...
Peter Pan
Le #22026341
a écrit Le 23/05/2007 10:45 :
zdata/



Dans ce répertoire, un fichier .htaccess avec une ligne :
Deny from all

Seules les requêtes venant du serveur seront autorisées. Ce qui veut
dire qu'on n'y met pas, exemple, un fichier css ou javascript, appelé
par le brouteur du client ; donc bloqué.

zdata/config.ini



Tout fichier avec l'extension .php - façon d'indiquer le code du même
nom* - est interprété par le serveur. Ton fichier n'étant pourvu que
d'implémentations de variables, rien ne sera lu.
Exemple : config.ini.php si l'on tient vraiment à "ini"

En d'autres termes, suffixer un fichier d'une autre façon ne sollicite
pas le serveur Apache : le fichier est servi tel quel au client.

(*) .php3, .php5 etc.

--
Pierre
http://www.1966.fr/
giganet
Le #22026291
a écrit :
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette
arborescence:

index.php
zfiles/
zfiles/ (fichiers...)
zdata/
zdata/config.ini
(...)

Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.

Comment empecher ca?

si ce n'est pas le bon groupe, pouvez vous me rediriger vers
un groupe adequat?

Merci





Comme la indiqué Peter Pan,

Si tu veux bloqué l'accès à tout le contenu de "zdata/", il suffit de
créer un fichier nommé ".htaccess" dans "zdata/" avec le contenu suivant:
Deny from all

Si dans ce répertoire tu ne veux bloquer que le fichier "config.ini" le
contenu devra être:
Deny from all
</Files>

Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter
le listage...
Peter Pan
Le #22026281
giganet a écrit :
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter
le listage...



Oui. L'idéal, à mon sens, est de le faire à la racine du site, puis
d'ouvrir les portes à chaque répertoire (si besoin).

--
Pierre
http://www.1966.fr/
Publicité
Poster une réponse
Anonyme