Un espace ftp sur un site web
Fermé
Skydevil
-
5 août 2008 à 20:04
RAD ZONE Messages postés 5230 Date d'inscription samedi 20 janvier 2007 Statut Contributeur Dernière intervention 17 août 2024 - 6 janv. 2009 à 14:44
RAD ZONE Messages postés 5230 Date d'inscription samedi 20 janvier 2007 Statut Contributeur Dernière intervention 17 août 2024 - 6 janv. 2009 à 14:44
A voir également:
- Un espace ftp sur un site web
- Espace insécable word - Guide
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
- Creer un site web - Guide
- Web office - Guide
9 réponses
X-Fan
Messages postés
805
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
6 janvier 2010
24
5 août 2008 à 20:17
5 août 2008 à 20:17
Si tu leur donnes accès au FTP, ils pourront prendre des fichiers mais aussi les mettre et c'est là que c'est dangereux.
Si n'importe qui mais n'importe quoi sur ton serveur, tu pourrais avoir des surprises. Je ne sais pas comment tu veux t'y prendre mais fait bien attention car quand tu donnes du pouvoir à des utilisateurs, cela devient dangereux si des mesures ne sont pas prises pour limiter ce qu'il est possible de faire.
Si n'importe qui mais n'importe quoi sur ton serveur, tu pourrais avoir des surprises. Je ne sais pas comment tu veux t'y prendre mais fait bien attention car quand tu donnes du pouvoir à des utilisateurs, cela devient dangereux si des mesures ne sont pas prises pour limiter ce qu'il est possible de faire.
CH4NCE
Messages postés
620
Date d'inscription
jeudi 7 décembre 2006
Statut
Membre
Dernière intervention
8 août 2013
719
5 août 2008 à 20:21
5 août 2008 à 20:21
coucou
Oui c'est possible, oui c'est dangeureux (ça peut), et la procedure est pas evidente.
Tout d'abord, tu crées l'utilisateur et son repertoire, mets des limites car je pense pas que tu ai un espace infini.
Apres l'utilisateur peut uploader dans son repertoire. Le serveur est probablement sous linux, ça tombe bien car meme si l'utilisateur envoie des fichiers dangeureux pour le serveur, il ne pourra normalement pas pirater autre chose que les fichiers lui appartenant.
La faille de securité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.
Apres, a mon avis, le plus compliqué sera de retrouver les fichiers qui ont été uploadé.
Soit tu crées un script en php qui liste le repertoire et propose des liens vers les fichiers, soit tu place un .htaccess dans le repertoire pour preciser que le listing des fichiers est autorisé dans ce repertoire.
Sinon, il y a la solution d'uploader par http, mais la plupart des serveurs limite la taille du fichier à 8 voire 6 Mo.
Bon courage, bon partage, sympa ton idée.
A++
Oui c'est possible, oui c'est dangeureux (ça peut), et la procedure est pas evidente.
Tout d'abord, tu crées l'utilisateur et son repertoire, mets des limites car je pense pas que tu ai un espace infini.
Apres l'utilisateur peut uploader dans son repertoire. Le serveur est probablement sous linux, ça tombe bien car meme si l'utilisateur envoie des fichiers dangeureux pour le serveur, il ne pourra normalement pas pirater autre chose que les fichiers lui appartenant.
La faille de securité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.
Apres, a mon avis, le plus compliqué sera de retrouver les fichiers qui ont été uploadé.
Soit tu crées un script en php qui liste le repertoire et propose des liens vers les fichiers, soit tu place un .htaccess dans le repertoire pour preciser que le listing des fichiers est autorisé dans ce repertoire.
Sinon, il y a la solution d'uploader par http, mais la plupart des serveurs limite la taille du fichier à 8 voire 6 Mo.
Bon courage, bon partage, sympa ton idée.
A++
Merci pour les réponses !
Je m'attendais à que ce soit compliqué :p
quand CH4NCE tu me dit
<quote>La faille de sécurité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.</quote>
Est-ce vraiment dangereux ? le site web se situant dans un autre dossier le nom d'utilisateur et le mot de passe du protocole ftp ne permettent donc pas d'altérer les données de celui ci
Ou je me trompe :p
Sinon peut tu décrire la méthode de l'.htacces ?
elle consiste à demander un login et mdp afin d'accéder au dossier ?
merci d'avance
Je m'attendais à que ce soit compliqué :p
quand CH4NCE tu me dit
<quote>La faille de sécurité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.</quote>
Est-ce vraiment dangereux ? le site web se situant dans un autre dossier le nom d'utilisateur et le mot de passe du protocole ftp ne permettent donc pas d'altérer les données de celui ci
Ou je me trompe :p
Sinon peut tu décrire la méthode de l'.htacces ?
elle consiste à demander un login et mdp afin d'accéder au dossier ?
merci d'avance
X-Fan
Messages postés
805
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
6 janvier 2010
24
5 août 2008 à 21:12
5 août 2008 à 21:12
htaccess peut servir à protéger des répertoires avec un nom d'utilisateur et mot de passe. ;)
http://www.technotrade.com/htaccess.html
http://www.technotrade.com/htaccess.html
D'accord merci beaucoup
donc si je résume je crée l'utilisateur et son répertoire et je protège ce répertoire avec un .htaccess ce qui m'oblige donc à communiquer aux membres le login et le mdp
j'ai bon :p ?
donc si je résume je crée l'utilisateur et son répertoire et je protège ce répertoire avec un .htaccess ce qui m'oblige donc à communiquer aux membres le login et le mdp
j'ai bon :p ?
X-Fan
Messages postés
805
Date d'inscription
mercredi 4 juin 2008
Statut
Membre
Dernière intervention
6 janvier 2010
24
5 août 2008 à 21:50
5 août 2008 à 21:50
Tu peux faire plein de chose avec htaccess. Sans doute que l'autre gars parlait d'une autre méthode. Il faudrait qu'il repasse pour t'expliquer plus clairement ce qu'il décrivait et que puisse le comprendre. ;)
Tu pourrais faire ce que tu viens de dire mais ça risquerait d'être très long. :o
De plus, je pense que htaccess ne protège que l'accès au répertoire quand tu les visites via un navigateur. Pour un FTP, ça ne marche pas (ou pas de la façon que la page le montre).
Tu pourrais faire ce que tu viens de dire mais ça risquerait d'être très long. :o
De plus, je pense que htaccess ne protège que l'accès au répertoire quand tu les visites via un navigateur. Pour un FTP, ça ne marche pas (ou pas de la façon que la page le montre).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Sinon je pensais à mettre un chmod 744 ça limiterai les risques non ? cependant les utilisateur n'auront aucun droit d'upload ...
CH4NCE
Messages postés
620
Date d'inscription
jeudi 7 décembre 2006
Statut
Membre
Dernière intervention
8 août 2013
719
6 janv. 2009 à 14:03
6 janv. 2009 à 14:03
coucou je suis de retour, enfin un peu :)
Hormis la protection du repertoire par mdp avec htaccess, je parlais de lister les fichiers present dans le repertoire.
En general, les serveurs en production empechent de lister les fichiers d'un repertoire pour des raisons de securité.
Je m'explique, si tu un repertoire avec un fichier nommé index.php ou index.html etc, le serveur t'envoie la page index.
Par exemple, l'url : http://cqgclub.dyndns.org ne comporte pas de fichier, pourtant le serveur envoie directement la page http://cqgclub.dyndns.org/index.php
Dans le repertoire http://cqgclub.dyndns.org/BDC il n'y a pas de page d'index du coup on a un refus du serveur genre forbidden, You don't have permission to access /BDC/ on this server.
Pour voir le contenu du repertoire il suffit d'ajouter un fichier .htaccess contenant :
Exemple, le contenu du repertoire test_list est accessible :
http://cqgclub.dyndns.org/test_list
pour empecher d'indexer, on met Options -Indexes
voir ici http://www.ac-creteil.fr/reseaux/systemes/linux/lamp2/TP-apache2-accessibilite.html
Le truc serait donc d'autoriser les membres autorisés à uploader par http
(voir ici http://wiki.mediabox.fr/tutoriaux/php/uploader-fichier-http-sur-serveur-avec-php ou là http://phpcodeur.net/articles/php/upload )
puis d'autoriser les visiteurs (ou membres autorisés) à voir le contenu du repertoire.
hop
Hormis la protection du repertoire par mdp avec htaccess, je parlais de lister les fichiers present dans le repertoire.
En general, les serveurs en production empechent de lister les fichiers d'un repertoire pour des raisons de securité.
Je m'explique, si tu un repertoire avec un fichier nommé index.php ou index.html etc, le serveur t'envoie la page index.
Par exemple, l'url : http://cqgclub.dyndns.org ne comporte pas de fichier, pourtant le serveur envoie directement la page http://cqgclub.dyndns.org/index.php
Dans le repertoire http://cqgclub.dyndns.org/BDC il n'y a pas de page d'index du coup on a un refus du serveur genre forbidden, You don't have permission to access /BDC/ on this server.
Pour voir le contenu du repertoire il suffit d'ajouter un fichier .htaccess contenant :
Options Indexes
Exemple, le contenu du repertoire test_list est accessible :
http://cqgclub.dyndns.org/test_list
pour empecher d'indexer, on met Options -Indexes
voir ici http://www.ac-creteil.fr/reseaux/systemes/linux/lamp2/TP-apache2-accessibilite.html
Le truc serait donc d'autoriser les membres autorisés à uploader par http
(voir ici http://wiki.mediabox.fr/tutoriaux/php/uploader-fichier-http-sur-serveur-avec-php ou là http://phpcodeur.net/articles/php/upload )
puis d'autoriser les visiteurs (ou membres autorisés) à voir le contenu du repertoire.
hop
RAD ZONE
Messages postés
5230
Date d'inscription
samedi 20 janvier 2007
Statut
Contributeur
Dernière intervention
17 août 2024
1 360
6 janv. 2009 à 14:44
6 janv. 2009 à 14:44
SALUT
Pourquoi ne pas utiliser http://www.net2ftp.com/homepage/screenshots.html
Pourquoi ne pas utiliser http://www.net2ftp.com/homepage/screenshots.html