Un espace ftp sur un site web
Skydevil
-
RAD ZONE Messages postés 5230 Date d'inscription Statut Contributeur Dernière intervention -
RAD ZONE Messages postés 5230 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Voila j'aimerais savoir si il était possible, sur un site web, de proposer un espace ftp ou les membres pourraient y télécharger du contenu.
Je m'explique ayant crée un site web et l'ayant héberger sans trop de soucis, on me donne des identifiants ftp ainsi que la possibilité d'ajouter des utilisateur ftp en leur attribuant un répertoire.
Je voudrais faire un lien sur le site du genre "Téléchargement" qui redirigerait vers l'adresse du répertoire "Téléchargement" situé à la racine du serveur ftp
cela donnerait un truc du genre
avec donc en user et en mdp un utilisateur crée par mes soins
je vous ai mit un screen au cas ou ce n'est pas très clair
http://img105.imageshack.us/img105/3755/exemplehi4.jpg
http://img402.imageshack.us/img402/8819/exemple2pj5.jpg
Les questions sont : est ce possible ? et si oui est ce DANGEREUX ?
Sinon comment faut-il procéder ?
Merci d'avance ...
Voila j'aimerais savoir si il était possible, sur un site web, de proposer un espace ftp ou les membres pourraient y télécharger du contenu.
Je m'explique ayant crée un site web et l'ayant héberger sans trop de soucis, on me donne des identifiants ftp ainsi que la possibilité d'ajouter des utilisateur ftp en leur attribuant un répertoire.
Je voudrais faire un lien sur le site du genre "Téléchargement" qui redirigerait vers l'adresse du répertoire "Téléchargement" situé à la racine du serveur ftp
cela donnerait un truc du genre
<a href="ftp://user:mdp@exemple.com/Telechargement">Cliquez ici pour accéder aux téléchargements</a>
avec donc en user et en mdp un utilisateur crée par mes soins
je vous ai mit un screen au cas ou ce n'est pas très clair
http://img105.imageshack.us/img105/3755/exemplehi4.jpg
http://img402.imageshack.us/img402/8819/exemple2pj5.jpg
Les questions sont : est ce possible ? et si oui est ce DANGEREUX ?
Sinon comment faut-il procéder ?
Merci d'avance ...
A voir également:
- Un espace ftp sur un site web
- Espace insécable - Guide
- Creer un site web - Guide
- Web office - Guide
- Site de telechargement - Accueil - Outils
- Site comme coco - Accueil - Réseaux sociaux
9 réponses
Si tu leur donnes accès au FTP, ils pourront prendre des fichiers mais aussi les mettre et c'est là que c'est dangereux.
Si n'importe qui mais n'importe quoi sur ton serveur, tu pourrais avoir des surprises. Je ne sais pas comment tu veux t'y prendre mais fait bien attention car quand tu donnes du pouvoir à des utilisateurs, cela devient dangereux si des mesures ne sont pas prises pour limiter ce qu'il est possible de faire.
Si n'importe qui mais n'importe quoi sur ton serveur, tu pourrais avoir des surprises. Je ne sais pas comment tu veux t'y prendre mais fait bien attention car quand tu donnes du pouvoir à des utilisateurs, cela devient dangereux si des mesures ne sont pas prises pour limiter ce qu'il est possible de faire.
coucou
Oui c'est possible, oui c'est dangeureux (ça peut), et la procedure est pas evidente.
Tout d'abord, tu crées l'utilisateur et son repertoire, mets des limites car je pense pas que tu ai un espace infini.
Apres l'utilisateur peut uploader dans son repertoire. Le serveur est probablement sous linux, ça tombe bien car meme si l'utilisateur envoie des fichiers dangeureux pour le serveur, il ne pourra normalement pas pirater autre chose que les fichiers lui appartenant.
La faille de securité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.
Apres, a mon avis, le plus compliqué sera de retrouver les fichiers qui ont été uploadé.
Soit tu crées un script en php qui liste le repertoire et propose des liens vers les fichiers, soit tu place un .htaccess dans le repertoire pour preciser que le listing des fichiers est autorisé dans ce repertoire.
Sinon, il y a la solution d'uploader par http, mais la plupart des serveurs limite la taille du fichier à 8 voire 6 Mo.
Bon courage, bon partage, sympa ton idée.
A++
Oui c'est possible, oui c'est dangeureux (ça peut), et la procedure est pas evidente.
Tout d'abord, tu crées l'utilisateur et son repertoire, mets des limites car je pense pas que tu ai un espace infini.
Apres l'utilisateur peut uploader dans son repertoire. Le serveur est probablement sous linux, ça tombe bien car meme si l'utilisateur envoie des fichiers dangeureux pour le serveur, il ne pourra normalement pas pirater autre chose que les fichiers lui appartenant.
La faille de securité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.
Apres, a mon avis, le plus compliqué sera de retrouver les fichiers qui ont été uploadé.
Soit tu crées un script en php qui liste le repertoire et propose des liens vers les fichiers, soit tu place un .htaccess dans le repertoire pour preciser que le listing des fichiers est autorisé dans ce repertoire.
Sinon, il y a la solution d'uploader par http, mais la plupart des serveurs limite la taille du fichier à 8 voire 6 Mo.
Bon courage, bon partage, sympa ton idée.
A++
Merci pour les réponses !
Je m'attendais à que ce soit compliqué :p
quand CH4NCE tu me dit
<quote>La faille de sécurité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.</quote>
Est-ce vraiment dangereux ? le site web se situant dans un autre dossier le nom d'utilisateur et le mot de passe du protocole ftp ne permettent donc pas d'altérer les données de celui ci
Ou je me trompe :p
Sinon peut tu décrire la méthode de l'.htacces ?
elle consiste à demander un login et mdp afin d'accéder au dossier ?
merci d'avance
Je m'attendais à que ce soit compliqué :p
quand CH4NCE tu me dit
<quote>La faille de sécurité se trouve dans le protocole ftp qui n'est pas crypté, avec un simple sniffer de protocole, on voit clairement le nom d'utilisateur et le mot de passe lorsque un utilisateur se connecte au serveur.</quote>
Est-ce vraiment dangereux ? le site web se situant dans un autre dossier le nom d'utilisateur et le mot de passe du protocole ftp ne permettent donc pas d'altérer les données de celui ci
Ou je me trompe :p
Sinon peut tu décrire la méthode de l'.htacces ?
elle consiste à demander un login et mdp afin d'accéder au dossier ?
merci d'avance
D'accord merci beaucoup
donc si je résume je crée l'utilisateur et son répertoire et je protège ce répertoire avec un .htaccess ce qui m'oblige donc à communiquer aux membres le login et le mdp
j'ai bon :p ?
donc si je résume je crée l'utilisateur et son répertoire et je protège ce répertoire avec un .htaccess ce qui m'oblige donc à communiquer aux membres le login et le mdp
j'ai bon :p ?
Tu peux faire plein de chose avec htaccess. Sans doute que l'autre gars parlait d'une autre méthode. Il faudrait qu'il repasse pour t'expliquer plus clairement ce qu'il décrivait et que puisse le comprendre. ;)
Tu pourrais faire ce que tu viens de dire mais ça risquerait d'être très long. :o
De plus, je pense que htaccess ne protège que l'accès au répertoire quand tu les visites via un navigateur. Pour un FTP, ça ne marche pas (ou pas de la façon que la page le montre).
Tu pourrais faire ce que tu viens de dire mais ça risquerait d'être très long. :o
De plus, je pense que htaccess ne protège que l'accès au répertoire quand tu les visites via un navigateur. Pour un FTP, ça ne marche pas (ou pas de la façon que la page le montre).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Sinon je pensais à mettre un chmod 744 ça limiterai les risques non ? cependant les utilisateur n'auront aucun droit d'upload ...
coucou je suis de retour, enfin un peu :)
Hormis la protection du repertoire par mdp avec htaccess, je parlais de lister les fichiers present dans le repertoire.
En general, les serveurs en production empechent de lister les fichiers d'un repertoire pour des raisons de securité.
Je m'explique, si tu un repertoire avec un fichier nommé index.php ou index.html etc, le serveur t'envoie la page index.
Par exemple, l'url : http://cqgclub.dyndns.org ne comporte pas de fichier, pourtant le serveur envoie directement la page http://cqgclub.dyndns.org/index.php
Dans le repertoire http://cqgclub.dyndns.org/BDC il n'y a pas de page d'index du coup on a un refus du serveur genre forbidden, You don't have permission to access /BDC/ on this server.
Pour voir le contenu du repertoire il suffit d'ajouter un fichier .htaccess contenant :
Exemple, le contenu du repertoire test_list est accessible :
http://cqgclub.dyndns.org/test_list
pour empecher d'indexer, on met Options -Indexes
voir ici http://www.ac-creteil.fr/reseaux/systemes/linux/lamp2/TP-apache2-accessibilite.html
Le truc serait donc d'autoriser les membres autorisés à uploader par http
(voir ici http://wiki.mediabox.fr/tutoriaux/php/uploader-fichier-http-sur-serveur-avec-php ou là http://phpcodeur.net/articles/php/upload )
puis d'autoriser les visiteurs (ou membres autorisés) à voir le contenu du repertoire.
hop
Hormis la protection du repertoire par mdp avec htaccess, je parlais de lister les fichiers present dans le repertoire.
En general, les serveurs en production empechent de lister les fichiers d'un repertoire pour des raisons de securité.
Je m'explique, si tu un repertoire avec un fichier nommé index.php ou index.html etc, le serveur t'envoie la page index.
Par exemple, l'url : http://cqgclub.dyndns.org ne comporte pas de fichier, pourtant le serveur envoie directement la page http://cqgclub.dyndns.org/index.php
Dans le repertoire http://cqgclub.dyndns.org/BDC il n'y a pas de page d'index du coup on a un refus du serveur genre forbidden, You don't have permission to access /BDC/ on this server.
Pour voir le contenu du repertoire il suffit d'ajouter un fichier .htaccess contenant :
Options Indexes
Exemple, le contenu du repertoire test_list est accessible :
http://cqgclub.dyndns.org/test_list
pour empecher d'indexer, on met Options -Indexes
voir ici http://www.ac-creteil.fr/reseaux/systemes/linux/lamp2/TP-apache2-accessibilite.html
Le truc serait donc d'autoriser les membres autorisés à uploader par http
(voir ici http://wiki.mediabox.fr/tutoriaux/php/uploader-fichier-http-sur-serveur-avec-php ou là http://phpcodeur.net/articles/php/upload )
puis d'autoriser les visiteurs (ou membres autorisés) à voir le contenu du repertoire.
hop
