htaccess question pas banale :-) Fermé

Question

Bonjour, Je me permets d'écrire ce petit appel à l'aide car j'ai retourné le web sans trouver une réponse à question très spécifique : j'ai mis un fichier htaccess dans un répertoire mon objectif est de protéger l'accès à ce répertoire (dans le cadre d'un projet d'application php je ne souhaite qu'on puissent atteindre ces fichiers de configuration ) ; comme l'accès par login/mot de passe n'est pas nécessaire (pour y accèder on doit passer par le ftp ) ; il y a que le fichier htaccess et pas de passwd.... . Ma question est : est-ce que ça tient la route au niveau de la sécurité ? J'ai testé et ça marche et je suis satisfait mais j'ai un gros doute niveau sécu Voici le code AuthUserFile /etc/httpd/conf/ AuthName Contrôle AuthType Basic require user Je suis très heureux d'avoir des avis éclairés à ce sujet; un très grand merci d'avance !!! Roger

poof65 · Answer

Dans ton fichier htaccess tu met la commandedeny from allet personne n'aura le droit d'accéder a ce répertoire.

sebsauvage · Answer

poof65 a raison.Un bon "deny from all" suffit à bloquer de manière radicale.Pour la sécurité, il est bon également d'interdire le directory browsing.Placer ça dans le .htaccess à la racine du site:Options -Indexes

rogerfon · Answer

MErci bcp les amis !!!Génial le deny from all ; ptite question par rapport à ceci "Options -Indexes" : pourriez-vous m'en dire plus ? Est-ce que cela ne risque pas de bloquer les robots des moteurs de recherches) je dis ça parce qu'il y a une partie "web" sur mon application qui devrait idéalement être indexée?  Merci encore !!! roger

sebsauvage · Answer

La plupart des serveurs web indexent automatiquement tout répertoire s'il ne contient pas d'index.html ou index.php (ou autre).En principe, on ne laisse pas de répertoire comme ça.(Il y a un risque que les utilisateurs voient des répertoires auxquels ils ne sont pas censés accéder, comme pour des répertoire contenant des fichiers à télécharger par exemple).L'option Options -Indexes n'a absolument aucun impact sur les moteurs de recherche.Elle ne les empêche pas d'indexer le site en parcourant tous les liens.ça concerne uniquement les répertoires ne contenant pas de page principale.

sebsauvage · Answer

est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ? Tout à fait ! Tu peux faire ça. y aurait-il un espoir que ce soit possible? Oui. Tu peux spécifier les accès fichier par fichier si tu veux. allow from all

bg62 · Answer

bonjour,et moi qui cherche un fichier pour stopper les aspirateurs de sites !!!  cela pourrait aussi fonctionner ?@mitiésb g

sebsauvage · Answer

Pour les aspirateurs de site, il faut créer un fichier robot-rules (voir sur ccm), mais les robots n'ont pas l'obligation de les respecter.Il y a d'autres méthodes pour les bloquer, mais ça nécessite un peu de programmation (mais c'est efficace).

sebsauvage · Answer

Alors voilà une astuce qui marche assez bien, mais ça nécessite un peu de programmation:Dans chaque page, créé un GIF totalement transparent 1x1 ou 2x2, avec un lien qui pointe vers une URL spéciale.Si une requête est reçus sur cette URL, banni l'adresse IP pendant une heure.Aucun internaute normalement constitué ne verra cette image et n'ira cliquer sur une image minuscule placée à un endroit incongru.Les robots, eux, vont bêtement suivre tous les liens d'une page.Ils appeleront donc systématiquement cette URL spéciale, ce qui te permettra de les bloquer.

sebsauvage · Answer

je ne sais même pas comment on fait ! 1 table MySQL contenant la liste des IP bannies, et la date d'expiration.chaque fois qu'une requête arrive sur la page spéciale, noter cette URL et sa date d'expiration (+1 heure) dans la table.Et sur chaque page du site: Regarder si l'adresse IP est dans la table et non expirée.Si non expirée, refuser de servir la page (en affichant un message d'explication).C'est une méthode qui ne marche pas à 100%, mais c'est malgré tout remaquablement efficace.Il y avait un site avec des livres en ligne qui utilisait cette astuces.

bg62 · Answer

mercimais désolé je laisse tomber ... trop complexe et contraignant pour moi ... !je vais continuer à chercher des 'scripts anti-aspis' si j'en trouve de corrects@mitiésb g

bg62 · Answer

merci pour le lienIL me faudrait donc inclure dans mon fichier robots.txt, toute une série de paquets de 4 lignesavec les noms des aspirateurs connus .....Exclusion d'un robot : User-Agent: NomDuRobotDisallow: /User-Agent: *Disallow:(mais pourquoi 4 lignes ci-dessus ?)ou prendre une de ces deux autres solutions ....Exclusion d'une page :User-Agent: *Disallow: /repertoire/chemin/page.htmlExclusion de toutes les pages d'un répertoire et ses sous-dossiers : User-Agent: *Disallow: /repertoire/@mitiésb g

sebsauvage · Answer

(mais pourquoi 4 lignes ci-dessus ?) User-Agent: indique à quel robot les règles Disallow dessous s'appliquent.Pour le user-agent, tu peux mettre * pour que les règles s'appliquent à tous les robots.Les deux solutions que tu donnes en dessous me semblent bien.

bg62 · Answer

oui je crois que je vais plutôt me servir de:User-Agent: * Disallow: /repertoire/ dans le fichier robots.txt pour protéger les dossiers (surtout images) que je ne veux pas voir 'aspirés sauvagement'mais dans ce cas, goole par exemple ne va pas pouvoir scanner les photos !@mitiésb g

Htaccess question pas banale :-)

13 réponses

Discussions similaires