Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
2219 connectés 

  FORUM HardWare.fr
  Programmation

  .htaccess chez free : faille de sécurité ?

 
 


Dernière réponse
Sujet : .htaccess chez free : faille de sécurité ?
nico23

arghbis a écrit a écrit :

à la limite, c pas trop grave de voir ton .htaccess. C surtout le htpasswd qui craint, paske un petit uudecode dessus, et zou, tous les pass!  
mais ça m'étonne quand même, paske les derniers apache (enfin depuis un moment déjà) son config pour qu'on ne puisse pas avoir accès au .htaccess et consort! donc si c pas fait chez free, ça veut dire que leur apache date de mathusalem ou est mal configuré!




 
il est mal configuré simplement (chez moi j'ai pas besoin d'ajouté ca je crois)
 
edit: un lien utile: http://www.phpfrance.com/tutorials/index.php?id=30
voir aussi la doc d'apache et/ou google sur le .htaccess

Votre réponse
Nom d'utilisateur    Pour poster, vous devez être inscrit sur ce forum .... si ce n'est pas le cas, cliquez ici !
Le ton de votre message                        
                       
Votre réponse
[b][i][u][strike][spoiler][fixed][cpp][url][email][img][*]   
 
   [quote]
 
Options

 
Vous avez perdu votre mot de passe ?


Vue Rapide de la discussion
nico23

arghbis a écrit a écrit :

à la limite, c pas trop grave de voir ton .htaccess. C surtout le htpasswd qui craint, paske un petit uudecode dessus, et zou, tous les pass!  
mais ça m'étonne quand même, paske les derniers apache (enfin depuis un moment déjà) son config pour qu'on ne puisse pas avoir accès au .htaccess et consort! donc si c pas fait chez free, ça veut dire que leur apache date de mathusalem ou est mal configuré!




 
il est mal configuré simplement (chez moi j'ai pas besoin d'ajouté ca je crois)
 
edit: un lien utile: http://www.phpfrance.com/tutorials/index.php?id=30
voir aussi la doc d'apache et/ou google sur le .htaccess
Runner10 ça marche impec, merci pour ttes les réponses :jap:
Runner10 nico23 : oui mais comment ;) (maintenant c dit plus bas :) )
arghbis : oui....
 
dost67 : je teste ça, c impeccable a priori :hap: [:fifiz]
Dost67 Ce morceau de code provient du httpd.conf de mon Apache livré avec EasyPHP.
 
Je l'ai copié dans chaque .htaccess que j'ai sur mon site sur Free. Now plus de pb : dès que l'on veut accéder à un .ht* eh ben erreur !
Dost67 Tu mets ça dans chaque .htaccess :

Code :
  1. <Files ~ "^\.ht">
  2. Order allow,deny
  3. Deny from all
  4. Satisfy All
  5. </Files>
arghbis à la limite, c pas trop grave de voir ton .htaccess. C surtout le htpasswd qui craint, paske un petit uudecode dessus, et zou, tous les pass!  
mais ça m'étonne quand même, paske les derniers apache (enfin depuis un moment déjà) son config pour qu'on ne puisse pas avoir accès au .htaccess et consort! donc si c pas fait chez free, ça veut dire que leur apache date de mathusalem ou est mal configuré!
nico23 tu interdit l'accés au fichier .htaccess et tu mets ton fichier des mots de passe dans un répertoire interdit à tous.
Runner10

manu025 a écrit a écrit :

t'es parano non



non je crois pas, si je donne un acces a des infos et que la personne peut acceder a la liste de tous les comptes, je pense que c un peu grave :fou:
 
c comme si en te donnant ton code de carte bleue, ta banque te donnait aussi tous ceux de ses autres clients..... :sleep:  
 
 
enfin si t'as rien de plus constructif, tu n'es pas obligé de perdre ton tps sur ce post non plus  :ange:
Runner10 j'ai mis en oeuvre la procédure décrite dans leur page d'info mais il y'a une "faille" que je n'arrive pas a couvrir completement
 
1/ quand un utilisateur n'est pas loggé, aucun pb, on n'accede a rien...
 
 
2/ ça se gate des qu'un utilisateur est loggé, car il suffit qu'il fasse http://perso.free.fr/.htaccess pour qu'il voit le contenu de mon fichier .htaccess DONC LE CHEMIN qui mene tout droit au fichier de mot de passe (en clair chez free en plus :( )
 
et donc des qu'il a le chemin il peut meme lire ce fichier sans souci
 
j'ai donc essayé de mettre un .htaccess contenant "deny from all" a la racine du repertoire qui contient la liste de mots de passe et ça ne resoud pas le pb, j'ai donc repris leur script et j'ai mis require USER, sachant que USER n'existe pas, donc la ok, on ne voit plus la liste de mots de passe meme loggé sur le site
 
 
PAR CONTRE ON VOIT TJRS LE .htaccess a la racine et je ne sais pas comment empecher ça !!!! :fou:

Forum MesDiscussions.Net, Version 2010.2
(c) 2000-2011 Doctissimo

Copyright © 1997-2025 Groupe LDLC (Signaler un contenu illicite / Données personnelles)