Htaccess question pas banale :-)

Fermé
roger - 18 août 2006 à 00:32
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 - 28 août 2006 à 15:28
Bonjour, Je me permets d'écrire ce petit appel à l'aide car j'ai retourné le web sans trouver une réponse à question très spécifique : j'ai mis un fichier htaccess dans un répertoire mon objectif est de protéger l'accès à ce répertoire (dans le cadre d'un projet d'application php je ne souhaite qu'on puissent atteindre ces fichiers de configuration ) ; comme l'accès par login/mot de passe n'est pas nécessaire (pour y accèder on doit passer par le ftp ) ; il y a que le fichier htaccess et pas de passwd....

. Ma question est : est-ce que ça tient la route au niveau de la sécurité ? J'ai testé et ça marche et je suis satisfait mais j'ai un gros doute niveau sécu

Voici le code

AuthUserFile /etc/httpd/conf/
AuthName Contrôle
AuthType Basic
<Limit GET>
require user
</Limit>

Je suis très heureux d'avoir des avis éclairés à ce sujet; un très grand merci d'avance !!! Roger

13 réponses

Utilisateur anonyme
18 août 2006 à 09:31
Dans ton fichier htaccess tu met la commande
deny from all
et personne n'aura le droit d'accéder a ce répertoire.
1
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
18 août 2006 à 09:59
poof65 a raison.
Un bon "deny from all" suffit à bloquer de manière radicale.


Pour la sécurité, il est bon également d'interdire le directory browsing.

Placer ça dans le .htaccess à la racine du site:
Options -Indexes
1
MErci bcp les amis !!!

Génial le deny from all ; ptite question par rapport à ceci "Options -Indexes" : pourriez-vous m'en dire plus ? Est-ce que cela ne risque pas de bloquer les robots des moteurs de recherches) je dis ça parce qu'il y a une partie "web" sur mon application qui devrait idéalement être indexée? Merci encore !!! roger
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
18 août 2006 à 14:32
La plupart des serveurs web indexent automatiquement tout répertoire s'il ne contient pas d'index.html ou index.php (ou autre).

En principe, on ne laisse pas de répertoire comme ça.
(Il y a un risque que les utilisateurs voient des répertoires auxquels ils ne sont pas censés accéder, comme pour des répertoire contenant des fichiers à télécharger par exemple).



L'option Options -Indexes n'a absolument aucun impact sur les moteurs de recherche.
Elle ne les empêche pas d'indexer le site en parcourant tous les liens.

ça concerne uniquement les répertoires ne contenant pas de page principale.
0
Bonsoir
Super merci pour ces infos Seb ! Si j'ai bien compris c'est dans la racine du site .... mais est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ? Tant que j'ai un spécialiste sous la main : j'ai un défi :-) : serait-il possible de bénéficier des avantages du "deny from all" avec la possibilité de laisser l'accès uniquement à une page bien spécifique : ex : je bloque le répertoire "test" mais (et sans login ni mot de passe je souhaiterais atteindre la page "stat.php" de ce dossier.... y aurait-il un espoir que ce soit possible? Merci 1000x Seb !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
18 août 2006 à 23:17
est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ?

Tout à fait !
Tu peux faire ça.



y aurait-il un espoir que ce soit possible?

Oui.
Tu peux spécifier les accès fichier par fichier si tu veux.

<Files stats.php>
allow from all
</Files>
0
Super Seb !
Merci bcp j'ai appris bcp de choses ! C'est fou ce qu'on sait faire avec les htaccess ; ton aide a été très précieuse ; bon w-e à toi ! Roger
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
19 août 2006 à 09:59
bonjour,
et moi qui cherche un fichier pour stopper les aspirateurs de sites !!! cela pourrait aussi fonctionner ?
@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
19 août 2006 à 22:12
Pour les aspirateurs de site, il faut créer un fichier robot-rules (voir sur ccm), mais les robots n'ont pas l'obligation de les respecter.

Il y a d'autres méthodes pour les bloquer, mais ça nécessite un peu de programmation (mais c'est efficace).
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
20 août 2006 à 10:17
bonjour
j'aimerais bien en savoir un peu plus, car ces aspirateurs commencent à m'énerver
je veux bien metttre à disposition de tous sur le web, mais quand je vois que cela passe par une aspiration bête et inutile je craque, et le serveur aussi ...
@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
20 août 2006 à 12:29
Alors voilà une astuce qui marche assez bien, mais ça nécessite un peu de programmation:

Dans chaque page, créé un GIF totalement transparent 1x1 ou 2x2, avec un lien qui pointe vers une URL spéciale.

Si une requête est reçus sur cette URL, banni l'adresse IP pendant une heure.

Aucun internaute normalement constitué ne verra cette image et n'ira cliquer sur une image minuscule placée à un endroit incongru.

Les robots, eux, vont bêtement suivre tous les liens d'une page.
Ils appeleront donc systématiquement cette URL spéciale, ce qui te permettra de les bloquer.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
21 août 2006 à 09:39
merci
mais encore une fois 'super astuce' pour ton niveau !
tu me vois moi essayer de 'bannir pendant une heure' ?
je ne sais même pas comment on fait !
j'avais vu des scripts 'anti-aspi' mais je ne connais pas leur effficacité ...
@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
21 août 2006 à 09:47
je ne sais même pas comment on fait !

1 table MySQL contenant la liste des IP bannies, et la date d'expiration.

chaque fois qu'une requête arrive sur la page spéciale, noter cette URL et sa date d'expiration (+1 heure) dans la table.

Et sur chaque page du site: Regarder si l'adresse IP est dans la table et non expirée.
Si non expirée, refuser de servir la page (en affichant un message d'explication).


C'est une méthode qui ne marche pas à 100%, mais c'est malgré tout remaquablement efficace.

Il y avait un site avec des livres en ligne qui utilisait cette astuces.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
26 août 2006 à 15:23
et pourquoi pas tout simplement:
<meta name="robots" content "noindex, nofollow">
sur les pages que l'on ne veut pas voir visiter par les robots et donc les aspirateurs de sites ?
à ton avis cela fonctionnerai ???
@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659 > bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024
27 août 2006 à 17:40
à ton avis cela fonctionnerai ???

N'importe quel aspirateur peut être configuré pour ignorer ces règles.
Donc c'est moyennement efficace contre les aspirateurs.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392 > sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019
28 août 2006 à 09:06
je peux donc essayer de tester ?
cette balise placée sur une page ...
la page est indexée, elle, mais pas les suivantes ... si je comprends bien ?
@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659 > bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024
28 août 2006 à 09:29
La page est indexée, elle, mais pas les suivantes ... si je comprends bien ?

Juste pour cette page, en effet !
En voyant cette directive, les robots bien élevés ne scanneront pas les liens de la page.
(Mais ils suivront tous les liens des autres pages ne contenant pas cette directive !)

Il est donc plus sûr d'écrire un fichier robots-rules à placer à la racine du site.
(Et ça évite d'avoir à mettre la directive dans chaque page).
Voir: robots txt


Mais je le répète: ce ne sont que des directives que les robots n'ont pas l'obligation de respecter.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
21 août 2006 à 10:01
merci
mais désolé je laisse tomber ... trop complexe et contraignant pour moi ... !
je vais continuer à chercher des 'scripts anti-aspis' si j'en trouve de corrects
@mitiés
b g
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
28 août 2006 à 11:46
merci pour le lien
IL me faudrait donc inclure dans mon fichier robots.txt, toute une série de paquets de 4 lignes
avec les noms des aspirateurs connus .....


Exclusion d'un robot :
User-Agent: NomDuRobot
Disallow: /
User-Agent: *
Disallow:

(mais pourquoi 4 lignes ci-dessus ?)


ou prendre une de ces deux autres solutions ....

Exclusion d'une page :
User-Agent: *
Disallow: /repertoire/chemin/page.html


Exclusion de toutes les pages d'un répertoire et ses sous-dossiers :
User-Agent: *
Disallow: /repertoire/

@mitiés
b g
0
sebsauvage Messages postés 32893 Date d'inscription mercredi 29 août 2001 Statut Modérateur Dernière intervention 21 octobre 2019 15 659
28 août 2006 à 11:57
(mais pourquoi 4 lignes ci-dessus ?)

User-Agent: indique à quel robot les règles Disallow dessous s'appliquent.


Pour le user-agent, tu peux mettre * pour que les règles s'appliquent à tous les robots.


Les deux solutions que tu donnes en dessous me semblent bien.
0
bg62 Messages postés 23664 Date d'inscription samedi 22 octobre 2005 Statut Modérateur Dernière intervention 17 décembre 2024 2 392
28 août 2006 à 15:28
oui je crois que je vais plutôt me servir de:
User-Agent: *
Disallow: /repertoire/
dans le fichier robots.txt pour protéger les dossiers (surtout images) que je ne veux pas voir 'aspirés sauvagement'
mais dans ce cas, goole par exemple ne va pas pouvoir scanner les photos !
@mitiés
b g
0