[HS] Empêcher le téléchargement de sources PHP

15 réponses
Avatar
steve
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
et même la formuler correctement.

J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques
pages en PHP. Les pages seront donc servies en HTML, rien de plus
normal. Ce matin je me posais quelques questions concernant la sécurité
de mon "site" et je me demandais s'il était possible d'interdire de
télécharger les sources PHP (avec wget par exemple). Il me semble que
non mais j'ai un doute. Comme je vois les choses, ce sont de simples
fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce
qui peut poser problèmes si les pages ne sont pas blindées au niveau
sécurité).

Pouvez-vous me confirmer/infirmer cela ?

Merci d'avance,
Steve

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

10 réponses

1 2
Avatar
Auguste
steve a écrit :
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
et même la formuler correctement.



Hello,
J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques
pages en PHP. Les pages seront donc servies en HTML, rien de plus
normal. Ce matin je me posais quelques questions concernant la sécurité
de mon "site" et je me demandais s'il était possible d'interdire de
télécharger les sources PHP (avec wget par exemple). Il me semble que
non mais j'ai un doute. Comme je vois les choses, ce sont de simples
fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce
qui peut poser problèmes si les pages ne sont pas blindées au niveau
sécurité)



Je pense pas dire de connerie en disant que :

wget récupérera le code généré par la page PHP (comme le navigateur), il
n'a pas accès
au source PHP.

Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers
PHP qui contiennent parfois
des mots de passe en clair (connexion SGBD, LDAP etc...).

Pouvez-vous me confirmer/infirmer cela ?

Merci d'avance,
Steve




@+


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 25 février 2009 15:25, steve a écrit :
Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
et même la formuler correctement.

J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer q uelques
pages en PHP. Les pages seront donc servies en HTML, rien de plus
normal. Ce matin je me posais quelques questions concernant la sécurit é
de mon "site" et je me demandais s'il était possible d'interdire de
télécharger les sources PHP (avec wget par exemple). Il me semble que
non mais j'ai un doute. Comme je vois les choses, ce sont de simples
fichiers qui ont une URI et donc wget doit pouvoir les télécharger (c e
qui peut poser problèmes si les pages ne sont pas blindées au niveau
sécurité).

Pouvez-vous me confirmer/infirmer cela ?



La requête HTTP est transmise à Apache quelque soit le client, wget en
est un au même titre que Firefox ou lynx. Donc s'il demande une page,
ton Apache commence par chercher si le fichier correspond à un
interpréteur configuré : si ce n'est pas le cas alors il te transmets
la page tel quel sinon il la passe dans l'interpréteur (php en
l'occurrence) et le resultat est transmis ensuite.

L'activation du module php5 suffit a forcer l'utilisation de php comme
interpréteur. (a2enmod php5)

Kévin

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
steve
> Le 25 février 2009 15:25, steve a écrit :
> Bonjour et excusez ce HS mais je ne sais pas trop où poser la question
> et même la formuler correctement.
>
> J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques
> pages en PHP. Les pages seront donc servies en HTML, rien de plus
> normal. Ce matin je me posais quelques questions concernant la sécurité
> de mon "site" et je me demandais s'il était possible d'interdire de
> télécharger les sources PHP (avec wget par exemple). Il me semble que
> non mais j'ai un doute. Comme je vois les choses, ce sont de simples
> fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce
> qui peut poser problèmes si les pages ne sont pas blindées au niveau
> sécurité).
>
> Pouvez-vous me confirmer/infirmer cela ?

La requête HTTP est transmise à Apache quelque soit le client, wget en
est un au même titre que Firefox ou lynx.



Ok.

Donc s'il demande une page,
ton Apache commence par chercher si le fichier correspond à un
interpréteur configuré : si ce n'est pas le cas alors il te transmets
la page tel quel sinon il la passe dans l'interpréteur (php en
l'occurrence) et le resultat est transmis ensuite.



Oubliez mon message, je viens de refaire des essais et c'est bien du
HTML que je télécharge... je ne sais pas quelle manipulation j'avais
fait avant d'envoyer mon message, mais j'étais persuadé d'avoir du code
PHP... probablement été déconcentré par quelque chose :-)

L'activation du module php5 suffit a forcer l'utilisation de php comme
interpréteur. (a2enmod php5)



C'est activé :

ls -l /etc/apache2/mods-enabled/php5*
php5.conf
php5.load


Désolé pour le bruit et merci à Kevin et à Auguste.


PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 25 février 2009 16:12, steve a écrit :
PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ?



Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever le s
DRM sur les morceaux.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 25 février 2009 17:32, steve a écrit :
> PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ?

Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever les
DRM sur les morceaux.



et donc t'as abandonné l'idée d'écouter les morceaux DRMisés ?



Oui, j'avais des choses plus urgentes :'(

Ton ami n'a pas récupéré ses données du coup ? Apple n'a pas de
mécanismes de récupération des clés de chiffrement ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
steve
> > PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ?

Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever les
DRM sur les morceaux.



et donc t'as abandonné l'idée d'écouter les morceaux DRMisés ?

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
steve
> >> > PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ?
>>
>> Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever les
>> DRM sur les morceaux.
>
> et donc t'as abandonné l'idée d'écouter les morceaux DRMisés ?

Oui, j'avais des choses plus urgentes :'(



Je comprends ... moi aussi

Ton ami n'a pas récupéré ses données du coup ?



Non toujours pas, mais je ne désespère pas de les lui récupérer un jour
ou l'autre.

Apple n'a pas de mécanismes de récupération des clés de chiffrement ?



J'espérais que tu me le dises :)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Kevin Hinault
Le 25 février 2009 18:08, steve a écrit :
Apple n'a pas de mécanismes de récupération des clés de chiffrem ent ?



J'espérais que tu me le dises :)




:D

Faudrait voir sur son compte itunes store, Moi j'ai un peu de
réticence a y aller lol

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
mouss
Auguste a écrit :
[snip]
wget récupérera le code généré par la page PHP (comme le navigateur), il
n'a pas accès
au source PHP.
Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers
PHP qui contiennent parfois
des mots de passe en clair (connexion SGBD, LDAP etc...).





Et à ce propos, lors des (mises à jour|installation|désinstallation) des
paquets, il faut faire attention. Si pendant un moment, php est
désactivé, ça la fout mal. idem si on fat joujou avec la config apache.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
steve
> >> Apple n'a pas de mécanismes de récupération des clés de chiffrement ?
>
> J'espérais que tu me le dises :)
:D
Faudrait voir sur son compte itunes store, Moi j'ai un peu de
réticence a y aller lol



Ce qui peut se comprendre :)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/DebFrFrenchLists
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
1 2