Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai install=E9 zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'=E9cran les infos.
Comment empecher ca?
si ce n'est pas le bon groupe, pouvez vous me rediriger vers
un groupe adequat?
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
Quel est le serveur utilisé ? Apache ? L'idée serait d'empêcher l'accès par http au fichier, tout en conservant l'accès possible à ce fichier par le traitement serveur utilisé par le CMS.
octane@alinto.com wrote:
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette
arborescence:
Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.
Comment empecher ca?
Quel est le serveur utilisé ? Apache ?
L'idée serait d'empêcher l'accès par http au fichier, tout en conservant
l'accès possible à ce fichier par le traitement serveur utilisé par le CMS.
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
Quel est le serveur utilisé ? Apache ? L'idée serait d'empêcher l'accès par http au fichier, tout en conservant l'accès possible à ce fichier par le traitement serveur utilisé par le CMS.
Bruno Baguette
a écrit :
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
Bonjour !
Au lieu d'utiliser un fichier config.ini, utilisez plutôt un fichier config.php qui contiendra vos constantes :
<?php
// Fichier de configuration define('ADMIN_LOGIN','monnom'); define('ADMIN_PASSWORD','monsecret');
?>
Ainsi, vous ne verrez plus le contenu de votre fichier s'afficher si vous allez sur http://127.0.0.1/zdata/config.php
Ceci dit, si l'objectif final est de restreindre l'accès à un fichier ou à un répertoire, htaccess me parait plus indiqué.
En espérant que ca aide ! :-)
-- Bruno Baguette -
octane@alinto.com a écrit :
Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.
Comment empecher ca?
Bonjour !
Au lieu d'utiliser un fichier config.ini, utilisez plutôt un fichier
config.php qui contiendra vos constantes :
<?php
// Fichier de configuration
define('ADMIN_LOGIN','monnom');
define('ADMIN_PASSWORD','monsecret');
?>
Ainsi, vous ne verrez plus le contenu de votre fichier s'afficher si
vous allez sur http://127.0.0.1/zdata/config.php
Ceci dit, si l'objectif final est de restreindre l'accès à un fichier ou
à un répertoire, htaccess me parait plus indiqué.
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
Bonjour !
Au lieu d'utiliser un fichier config.ini, utilisez plutôt un fichier config.php qui contiendra vos constantes :
<?php
// Fichier de configuration define('ADMIN_LOGIN','monnom'); define('ADMIN_PASSWORD','monsecret');
?>
Ainsi, vous ne verrez plus le contenu de votre fichier s'afficher si vous allez sur http://127.0.0.1/zdata/config.php
Ceci dit, si l'objectif final est de restreindre l'accès à un fichier ou à un répertoire, htaccess me parait plus indiqué.
En espérant que ca aide ! :-)
-- Bruno Baguette -
Bruno Desthuilliers
Zorglub a écrit :
In article , wrote:
http://127.0.0.1
MDR
C'est quoi qui te fais rire, là ? L'OP a bien précisé que c'était une install en local. Son problème n'est pas comment sécuriser l'install local, mais comment s'assurer que ce sera sécurisé une fois en prod...
Zorglub a écrit :
In article <1179909901.957651.240210@k79g2000hse.googlegroups.com>,
octane@alinto.com wrote:
http://127.0.0.1
MDR
C'est quoi qui te fais rire, là ? L'OP a bien précisé que c'était une
install en local. Son problème n'est pas comment sécuriser l'install
local, mais comment s'assurer que ce sera sécurisé une fois en prod...
C'est quoi qui te fais rire, là ? L'OP a bien précisé que c'était une install en local. Son problème n'est pas comment sécuriser l'install local, mais comment s'assurer que ce sera sécurisé une fois en prod...
Peter Pan
a écrit Le 23/05/2007 10:45 :
zdata/
Dans ce répertoire, un fichier .htaccess avec une ligne : Deny from all
Seules les requêtes venant du serveur seront autorisées. Ce qui veut dire qu'on n'y met pas, exemple, un fichier css ou javascript, appelé par le brouteur du client ; donc bloqué.
zdata/config.ini
Tout fichier avec l'extension .php - façon d'indiquer le code du même nom* - est interprété par le serveur. Ton fichier n'étant pourvu que d'implémentations de variables, rien ne sera lu. Exemple : config.ini.php si l'on tient vraiment à "ini"
En d'autres termes, suffixer un fichier d'une autre façon ne sollicite pas le serveur Apache : le fichier est servi tel quel au client.
(*) .php3, .php5 etc.
-- Pierre http://www.1966.fr/
octane@alinto.com a écrit Le 23/05/2007 10:45 :
zdata/
Dans ce répertoire, un fichier .htaccess avec une ligne :
Deny from all
Seules les requêtes venant du serveur seront autorisées. Ce qui veut
dire qu'on n'y met pas, exemple, un fichier css ou javascript, appelé
par le brouteur du client ; donc bloqué.
zdata/config.ini
Tout fichier avec l'extension .php - façon d'indiquer le code du même
nom* - est interprété par le serveur. Ton fichier n'étant pourvu que
d'implémentations de variables, rien ne sera lu.
Exemple : config.ini.php si l'on tient vraiment à "ini"
En d'autres termes, suffixer un fichier d'une autre façon ne sollicite
pas le serveur Apache : le fichier est servi tel quel au client.
Dans ce répertoire, un fichier .htaccess avec une ligne : Deny from all
Seules les requêtes venant du serveur seront autorisées. Ce qui veut dire qu'on n'y met pas, exemple, un fichier css ou javascript, appelé par le brouteur du client ; donc bloqué.
zdata/config.ini
Tout fichier avec l'extension .php - façon d'indiquer le code du même nom* - est interprété par le serveur. Ton fichier n'étant pourvu que d'implémentations de variables, rien ne sera lu. Exemple : config.ini.php si l'on tient vraiment à "ini"
En d'autres termes, suffixer un fichier d'une autre façon ne sollicite pas le serveur Apache : le fichier est servi tel quel au client.
(*) .php3, .php5 etc.
-- Pierre http://www.1966.fr/
giganet
a écrit :
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette arborescence:
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
si ce n'est pas le bon groupe, pouvez vous me rediriger vers un groupe adequat?
Merci
Comme la indiqué Peter Pan,
Si tu veux bloqué l'accès à tout le contenu de "zdata/", il suffit de créer un fichier nommé ".htaccess" dans "zdata/" avec le contenu suivant: Deny from all
Si dans ce répertoire tu ne veux bloquer que le fichier "config.ini" le contenu devra être: <Files config.ini> Deny from all </Files>
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter le listage...
octane@alinto.com a écrit :
Bonjour j'utilise un CMS (zite.prositif.com) qui dispose de cette
arborescence:
Le config.ini contient entre autre le login et le pass de
l'administrateur.
J'ai installé zite chez moi, et rien ne m'empeche de taper
l'URL: http://127.0.0.1/zdata/config.ini et de voir
s'afficher a l'écran les infos.
Comment empecher ca?
si ce n'est pas le bon groupe, pouvez vous me rediriger vers
un groupe adequat?
Merci
Comme la indiqué Peter Pan,
Si tu veux bloqué l'accès à tout le contenu de "zdata/", il suffit de
créer un fichier nommé ".htaccess" dans "zdata/" avec le contenu suivant:
Deny from all
Si dans ce répertoire tu ne veux bloquer que le fichier "config.ini" le
contenu devra être:
<Files config.ini>
Deny from all
</Files>
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter
le listage...
Le config.ini contient entre autre le login et le pass de l'administrateur. J'ai installé zite chez moi, et rien ne m'empeche de taper l'URL: http://127.0.0.1/zdata/config.ini et de voir s'afficher a l'écran les infos.
Comment empecher ca?
si ce n'est pas le bon groupe, pouvez vous me rediriger vers un groupe adequat?
Merci
Comme la indiqué Peter Pan,
Si tu veux bloqué l'accès à tout le contenu de "zdata/", il suffit de créer un fichier nommé ".htaccess" dans "zdata/" avec le contenu suivant: Deny from all
Si dans ce répertoire tu ne veux bloquer que le fichier "config.ini" le contenu devra être: <Files config.ini> Deny from all </Files>
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter le listage...
Peter Pan
giganet a écrit :
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter le listage...
Oui. L'idéal, à mon sens, est de le faire à la racine du site, puis d'ouvrir les portes à chaque répertoire (si besoin).
-- Pierre http://www.1966.fr/
giganet a écrit :
Vous pouvez également rajouter la ligne "Options -Indexes" afin d'éviter
le listage...
Oui. L'idéal, à mon sens, est de le faire à la racine du site, puis
d'ouvrir les portes à chaque répertoire (si besoin).
