Htaccess question pas banale :-)
roger
-
bg62 Messages postés 23732 Date d'inscription Statut Modérateur Dernière intervention -
bg62 Messages postés 23732 Date d'inscription Statut Modérateur Dernière intervention -
Bonjour, Je me permets d'écrire ce petit appel à l'aide car j'ai retourné le web sans trouver une réponse à question très spécifique : j'ai mis un fichier htaccess dans un répertoire mon objectif est de protéger l'accès à ce répertoire (dans le cadre d'un projet d'application php je ne souhaite qu'on puissent atteindre ces fichiers de configuration ) ; comme l'accès par login/mot de passe n'est pas nécessaire (pour y accèder on doit passer par le ftp ) ; il y a que le fichier htaccess et pas de passwd....
. Ma question est : est-ce que ça tient la route au niveau de la sécurité ? J'ai testé et ça marche et je suis satisfait mais j'ai un gros doute niveau sécu
Voici le code
AuthUserFile /etc/httpd/conf/
AuthName Contrôle
AuthType Basic
<Limit GET>
require user
</Limit>
Je suis très heureux d'avoir des avis éclairés à ce sujet; un très grand merci d'avance !!! Roger
. Ma question est : est-ce que ça tient la route au niveau de la sécurité ? J'ai testé et ça marche et je suis satisfait mais j'ai un gros doute niveau sécu
Voici le code
AuthUserFile /etc/httpd/conf/
AuthName Contrôle
AuthType Basic
<Limit GET>
require user
</Limit>
Je suis très heureux d'avoir des avis éclairés à ce sujet; un très grand merci d'avance !!! Roger
A voir également:
- Htaccess question pas banale :-)
- Htaccess - Forum Référencement
- Problème avec .htaccess - Forum Webmastering
- .Htaccess apache2 ne fonctionne pas ✓ - Forum Linux / Unix
- Fichiers .htaccess ne fonctionnent pas ? - Forum Debian
- You don't have permission to access this resource.server unable to read htaccess file, denying access to be safe - Forum Mozilla Firefox
13 réponses
Dans ton fichier htaccess tu met la commande
deny from all
et personne n'aura le droit d'accéder a ce répertoire.
deny from all
et personne n'aura le droit d'accéder a ce répertoire.
poof65 a raison.
Un bon "deny from all" suffit à bloquer de manière radicale.
Pour la sécurité, il est bon également d'interdire le directory browsing.
Placer ça dans le .htaccess à la racine du site:
Options -Indexes
Un bon "deny from all" suffit à bloquer de manière radicale.
Pour la sécurité, il est bon également d'interdire le directory browsing.
Placer ça dans le .htaccess à la racine du site:
Options -Indexes
MErci bcp les amis !!!
Génial le deny from all ; ptite question par rapport à ceci "Options -Indexes" : pourriez-vous m'en dire plus ? Est-ce que cela ne risque pas de bloquer les robots des moteurs de recherches) je dis ça parce qu'il y a une partie "web" sur mon application qui devrait idéalement être indexée? Merci encore !!! roger
Génial le deny from all ; ptite question par rapport à ceci "Options -Indexes" : pourriez-vous m'en dire plus ? Est-ce que cela ne risque pas de bloquer les robots des moteurs de recherches) je dis ça parce qu'il y a une partie "web" sur mon application qui devrait idéalement être indexée? Merci encore !!! roger
La plupart des serveurs web indexent automatiquement tout répertoire s'il ne contient pas d'index.html ou index.php (ou autre).
En principe, on ne laisse pas de répertoire comme ça.
(Il y a un risque que les utilisateurs voient des répertoires auxquels ils ne sont pas censés accéder, comme pour des répertoire contenant des fichiers à télécharger par exemple).
L'option Options -Indexes n'a absolument aucun impact sur les moteurs de recherche.
Elle ne les empêche pas d'indexer le site en parcourant tous les liens.
ça concerne uniquement les répertoires ne contenant pas de page principale.
En principe, on ne laisse pas de répertoire comme ça.
(Il y a un risque que les utilisateurs voient des répertoires auxquels ils ne sont pas censés accéder, comme pour des répertoire contenant des fichiers à télécharger par exemple).
L'option Options -Indexes n'a absolument aucun impact sur les moteurs de recherche.
Elle ne les empêche pas d'indexer le site en parcourant tous les liens.
ça concerne uniquement les répertoires ne contenant pas de page principale.
Bonsoir
Super merci pour ces infos Seb ! Si j'ai bien compris c'est dans la racine du site .... mais est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ? Tant que j'ai un spécialiste sous la main : j'ai un défi :-) : serait-il possible de bénéficier des avantages du "deny from all" avec la possibilité de laisser l'accès uniquement à une page bien spécifique : ex : je bloque le répertoire "test" mais (et sans login ni mot de passe je souhaiterais atteindre la page "stat.php" de ce dossier.... y aurait-il un espoir que ce soit possible? Merci 1000x Seb !
Super merci pour ces infos Seb ! Si j'ai bien compris c'est dans la racine du site .... mais est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ? Tant que j'ai un spécialiste sous la main : j'ai un défi :-) : serait-il possible de bénéficier des avantages du "deny from all" avec la possibilité de laisser l'accès uniquement à une page bien spécifique : ex : je bloque le répertoire "test" mais (et sans login ni mot de passe je souhaiterais atteindre la page "stat.php" de ce dossier.... y aurait-il un espoir que ce soit possible? Merci 1000x Seb !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
est-ce qu'on peut le mettre dans un sous-répertoire (cela concernerait donc les sous-répertoire de ce sous répertoires) ?
Tout à fait !
Tu peux faire ça.
y aurait-il un espoir que ce soit possible?
Oui.
Tu peux spécifier les accès fichier par fichier si tu veux.
<Files stats.php>
allow from all
</Files>
Tout à fait !
Tu peux faire ça.
y aurait-il un espoir que ce soit possible?
Oui.
Tu peux spécifier les accès fichier par fichier si tu veux.
<Files stats.php>
allow from all
</Files>
bonjour,
et moi qui cherche un fichier pour stopper les aspirateurs de sites !!! cela pourrait aussi fonctionner ?
@mitiés
b g
et moi qui cherche un fichier pour stopper les aspirateurs de sites !!! cela pourrait aussi fonctionner ?
@mitiés
b g
Pour les aspirateurs de site, il faut créer un fichier robot-rules (voir sur ccm), mais les robots n'ont pas l'obligation de les respecter.
Il y a d'autres méthodes pour les bloquer, mais ça nécessite un peu de programmation (mais c'est efficace).
Il y a d'autres méthodes pour les bloquer, mais ça nécessite un peu de programmation (mais c'est efficace).
Alors voilà une astuce qui marche assez bien, mais ça nécessite un peu de programmation:
Dans chaque page, créé un GIF totalement transparent 1x1 ou 2x2, avec un lien qui pointe vers une URL spéciale.
Si une requête est reçus sur cette URL, banni l'adresse IP pendant une heure.
Aucun internaute normalement constitué ne verra cette image et n'ira cliquer sur une image minuscule placée à un endroit incongru.
Les robots, eux, vont bêtement suivre tous les liens d'une page.
Ils appeleront donc systématiquement cette URL spéciale, ce qui te permettra de les bloquer.
Dans chaque page, créé un GIF totalement transparent 1x1 ou 2x2, avec un lien qui pointe vers une URL spéciale.
Si une requête est reçus sur cette URL, banni l'adresse IP pendant une heure.
Aucun internaute normalement constitué ne verra cette image et n'ira cliquer sur une image minuscule placée à un endroit incongru.
Les robots, eux, vont bêtement suivre tous les liens d'une page.
Ils appeleront donc systématiquement cette URL spéciale, ce qui te permettra de les bloquer.
je ne sais même pas comment on fait !
1 table MySQL contenant la liste des IP bannies, et la date d'expiration.
chaque fois qu'une requête arrive sur la page spéciale, noter cette URL et sa date d'expiration (+1 heure) dans la table.
Et sur chaque page du site: Regarder si l'adresse IP est dans la table et non expirée.
Si non expirée, refuser de servir la page (en affichant un message d'explication).
C'est une méthode qui ne marche pas à 100%, mais c'est malgré tout remaquablement efficace.
Il y avait un site avec des livres en ligne qui utilisait cette astuces.
1 table MySQL contenant la liste des IP bannies, et la date d'expiration.
chaque fois qu'une requête arrive sur la page spéciale, noter cette URL et sa date d'expiration (+1 heure) dans la table.
Et sur chaque page du site: Regarder si l'adresse IP est dans la table et non expirée.
Si non expirée, refuser de servir la page (en affichant un message d'explication).
C'est une méthode qui ne marche pas à 100%, mais c'est malgré tout remaquablement efficace.
Il y avait un site avec des livres en ligne qui utilisait cette astuces.
et pourquoi pas tout simplement:
<meta name="robots" content "noindex, nofollow">
sur les pages que l'on ne veut pas voir visiter par les robots et donc les aspirateurs de sites ?
à ton avis cela fonctionnerai ???
@mitiés
b g
<meta name="robots" content "noindex, nofollow">
sur les pages que l'on ne veut pas voir visiter par les robots et donc les aspirateurs de sites ?
à ton avis cela fonctionnerai ???
@mitiés
b g
à ton avis cela fonctionnerai ???
N'importe quel aspirateur peut être configuré pour ignorer ces règles.
Donc c'est moyennement efficace contre les aspirateurs.
N'importe quel aspirateur peut être configuré pour ignorer ces règles.
Donc c'est moyennement efficace contre les aspirateurs.
je peux donc essayer de tester ?
cette balise placée sur une page ...
la page est indexée, elle, mais pas les suivantes ... si je comprends bien ?
@mitiés
b g
cette balise placée sur une page ...
la page est indexée, elle, mais pas les suivantes ... si je comprends bien ?
@mitiés
b g
La page est indexée, elle, mais pas les suivantes ... si je comprends bien ?
Juste pour cette page, en effet !
En voyant cette directive, les robots bien élevés ne scanneront pas les liens de la page.
(Mais ils suivront tous les liens des autres pages ne contenant pas cette directive !)
Il est donc plus sûr d'écrire un fichier robots-rules à placer à la racine du site.
(Et ça évite d'avoir à mettre la directive dans chaque page).
Voir: robots txt
Mais je le répète: ce ne sont que des directives que les robots n'ont pas l'obligation de respecter.
Juste pour cette page, en effet !
En voyant cette directive, les robots bien élevés ne scanneront pas les liens de la page.
(Mais ils suivront tous les liens des autres pages ne contenant pas cette directive !)
Il est donc plus sûr d'écrire un fichier robots-rules à placer à la racine du site.
(Et ça évite d'avoir à mettre la directive dans chaque page).
Voir: robots txt
Mais je le répète: ce ne sont que des directives que les robots n'ont pas l'obligation de respecter.
merci
mais désolé je laisse tomber ... trop complexe et contraignant pour moi ... !
je vais continuer à chercher des 'scripts anti-aspis' si j'en trouve de corrects
@mitiés
b g
mais désolé je laisse tomber ... trop complexe et contraignant pour moi ... !
je vais continuer à chercher des 'scripts anti-aspis' si j'en trouve de corrects
@mitiés
b g
merci pour le lien
IL me faudrait donc inclure dans mon fichier robots.txt, toute une série de paquets de 4 lignes
avec les noms des aspirateurs connus .....
Exclusion d'un robot :
User-Agent: NomDuRobot
Disallow: /
User-Agent: *
Disallow:
(mais pourquoi 4 lignes ci-dessus ?)
ou prendre une de ces deux autres solutions ....
Exclusion d'une page :
User-Agent: *
Disallow: /repertoire/chemin/page.html
Exclusion de toutes les pages d'un répertoire et ses sous-dossiers :
User-Agent: *
Disallow: /repertoire/
@mitiés
b g
IL me faudrait donc inclure dans mon fichier robots.txt, toute une série de paquets de 4 lignes
avec les noms des aspirateurs connus .....
Exclusion d'un robot :
User-Agent: NomDuRobot
Disallow: /
User-Agent: *
Disallow:
(mais pourquoi 4 lignes ci-dessus ?)
ou prendre une de ces deux autres solutions ....
Exclusion d'une page :
User-Agent: *
Disallow: /repertoire/chemin/page.html
Exclusion de toutes les pages d'un répertoire et ses sous-dossiers :
User-Agent: *
Disallow: /repertoire/
@mitiés
b g
(mais pourquoi 4 lignes ci-dessus ?)
User-Agent: indique à quel robot les règles Disallow dessous s'appliquent.
Pour le user-agent, tu peux mettre * pour que les règles s'appliquent à tous les robots.
Les deux solutions que tu donnes en dessous me semblent bien.
User-Agent: indique à quel robot les règles Disallow dessous s'appliquent.
Pour le user-agent, tu peux mettre * pour que les règles s'appliquent à tous les robots.
Les deux solutions que tu donnes en dessous me semblent bien.