Re: [HS] Empêcher le t éléchargement de sources PHP
Le Wed, 25 Feb 2009 23:44:23 +0100 mouss mo...@ml.netoyen.net a écrit: Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache. Parfois, pour récupérer les sources .php, il suffit de rajouter un ~ à la fin du nom. Il y a toujours des modifications rapides qui sont faites directement sur les pages du site et le webmaster négligent oublie de virer les fichiers de backup. L'extension .php~ n'étant pas associé à php, cela donne le source en clair. Petit malin va ! Je n'oublierai pas un 'rm *.php~' avant de mettre mes pages dans le DocumentRoot. Merci je n'y avais pas pensé. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [HS] Empêcher le t éléchargement de sources PHP
Le 25 février 2009 15:25, steve dl...@bluewin.ch a écrit : Bonjour et excusez ce HS mais je ne sais pas trop où poser la question et même la formuler correctement. J'ai un serveur web apache (sous Debian..) sur lequel je vais déposer quelques pages en PHP. Les pages seront donc servies en HTML, rien de plus normal. Ce matin je me posais quelques questions concernant la sécurité de mon site et je me demandais s'il était possible d'interdire de télécharger les sources PHP (avec wget par exemple). Il me semble que non mais j'ai un doute. Comme je vois les choses, ce sont de simples fichiers qui ont une URI et donc wget doit pouvoir les télécharger (ce qui peut poser problèmes si les pages ne sont pas blindées au niveau sécurité). Pouvez-vous me confirmer/infirmer cela ? La requête HTTP est transmise à Apache quelque soit le client, wget en est un au même titre que Firefox ou lynx. Ok. Donc s'il demande une page, ton Apache commence par chercher si le fichier correspond à un interpréteur configuré : si ce n'est pas le cas alors il te transmets la page tel quel sinon il la passe dans l'interpréteur (php en l'occurrence) et le resultat est transmis ensuite. Oubliez mon message, je viens de refaire des essais et c'est bien du HTML que je télécharge... je ne sais pas quelle manipulation j'avais fait avant d'envoyer mon message, mais j'étais persuadé d'avoir du code PHP... probablement été déconcentré par quelque chose :-) L'activation du module php5 suffit a forcer l'utilisation de php comme interpréteur. (a2enmod php5) C'est activé : ls -l /etc/apache2/mods-enabled/php5* php5.conf php5.load Désolé pour le bruit et merci à Kevin et à Auguste. PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [HS] Empêcher le t éléchargement de sources PHP
PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ? Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever les DRM sur les morceaux. et donc t'as abandonné l'idée d'écouter les morceaux DRMisés ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [HS] Empêcher le t éléchargement de sources PHP
PS : Kevin, et ces fichiers DRMisés, t'as réussi à les lire ? Lol non. J'ai récemment abandonné quand Apple a décidé d'enlever les DRM sur les morceaux. et donc t'as abandonné l'idée d'écouter les morceaux DRMisés ? Oui, j'avais des choses plus urgentes :'( Je comprends ... moi aussi Ton ami n'a pas récupéré ses données du coup ? Non toujours pas, mais je ne désespère pas de les lui récupérer un jour ou l'autre. Apple n'a pas de mécanismes de récupération des clés de chiffrement ? J'espérais que tu me le dises :) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [HS] Empêcher le t éléchargement de sources PHP
Apple n'a pas de mécanismes de récupération des clés de chiffrement ? J'espérais que tu me le dises :) :D Faudrait voir sur son compte itunes store, Moi j'ai un peu de réticence a y aller lol Ce qui peut se comprendre :) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Re: [HS] Empêcher le t éléchargement de sources PHP
Auguste a écrit : [snip] wget récupérera le code généré par la page PHP (comme le navigateur), il n'a pas accès au source PHP. Heureusement d'ailleurs !, sinon j'imagine la panique avec des fichiers PHP qui contiennent parfois des mots de passe en clair (connexion SGBD, LDAP etc...). Et à ce propos, lors des (mises à jour|installation|désinstallation) des paquets, il faut faire attention. Si pendant un moment, php est désactivé, ça la fout mal. idem si on fat joujou avec la config apache. Mais si Apache est désactivé pendant une maj ou autre, une adresse http://serveur/page ne sera plus accessible non ? Et par conséquent, wget ne pourra pas télécharger les sources, ou me trompe-je ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/DebFrFrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to debian-user-french-requ...@lists.debian.org with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org