osCommerce France : Accueil Forum Portail osCommerce France Réponses aux questions Foire aux contributions

Bienvenue invité ( Connexion | Inscription )

 
Reply to this topicStart new topic
> [Résolu] Sécurité, .htaccess et sécurité
eja1968
posté 23 Jun 2005, 17:32
Message #1


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 17
Inscrit : 23-March 05
Membre no 5245



Bonjour

Je suis en train de tenter une install sur le serveur de prod, mais j'ai un message du type "Internal Server Error".

Cela fonctionnait tres bien sur mon serveur de test (win32/mysql)

Je lis sur le forum "vire les .htaccess".

Je mets en commentaire les quelques lignes actives dans le .htaccess de la racine du catalogue uniquement, autant dire qu'il ne sert plus à rien et ca fonctionne sur tout le site.

Il me semblait que ces fichiers servaient à la sécurité d'accés aux fichiers et dossiers sur un serveur apache. Est ce que je ne risque pas de dégradé la sécurité du site en faisant cela ?

Merci pour vos commentaires avisés

Eric
Go to the top of the page
 
corbin
posté 23 Jun 2005, 17:50
Message #2


Ceinture marron OSC
Icône de groupe

Groupe : Membres
Messages : 1699
Inscrit : 29-January 03
Lieu : Paris, France, ;-)
Membre no 791



Tout d'abord Bienvenue.

oui le htaccess sert à la sécurité cf la FAQ du site.
Même si Dieu wink.gif te dit de virer le .htaccess, d'après ce post wink.gif , ça doit être possible de s'en servir là ou tu es wink.gif *!
En tout cas, cet hébergeur connait OsCommerce mrgreen.gif ** ... non pitié les admins, ne me virez pas confused.gif

* tétanie de la paupière
** plaisanterie très lourde


--------------------
AVEZ-VOUS CHERCHE :

- UNE CONTRIBUTION ? :
FAC : Foire Aux Contributions

- A INSTALLER UNE CONTRIBUTION ? : INSTALLATION DES CONTRIBUTIONS

- UNE REPONSE ? : F.A.Q.
- DOC MS2 V1 - DOC MS2 V2 - MOTEUR DE RECHERCHE DES FORUMS

Go to the top of the page
 
eja1968
posté 23 Jun 2005, 18:19
Message #3


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 17
Inscrit : 23-March 05
Membre no 5245



QUOTE (corbin @ 23 jun 2005, 12:50)
Tout d'abord Bienvenue.

oui le htaccess sert à la sécurité cf la FAQ du site.
Même si Dieu  wink.gif  te dit de virer le .htaccess, d'après ce post  wink.gif , ça doit être possible de s'en servir là ou tu es  wink.gif *!
En tout cas, cet hébergeur connait OsCommerce  mrgreen.gif  ** ... non pitié les admins, ne me virez pas  confused.gif

*  tétanie de la paupière
** plaisanterie très lourde

Merci Corbin,

La faq que tu cite parle de la gestion des mots de passe à travers un .htaccess, je voudrais savoir pour ma part si on on doit avoir des deny ou allow quelconques sur le dossier racine pour le préserver ou si ce fichier n'a pas d'utilité particuliere à cet endroit.

J'ai trouvé ceci (d'actif) dans le .htaccess :
<IfModule mod_setenvif.c>
<IfDefine SSL>
SetEnvIf User-Agent ".*MSIE.*" \
nokeepalive ssl-unclean-shutdown \
downgrade-1.0 force-response-1.0
</IfDefine>
</IfModule>

<IfModule mod_php4.c>
php_value session.use_trans_sid 0
php_value register_globals 1
</IfModule>

apparement ca concernerait uniquement le SSL et PHP4, moi je crois que c'est du PHP 3.23 et pas de SSL, j'ai mis la 2eme partie <IfModule mod_php4.c> en commentaire et ca tourne, mais je ne voudrais pas laisser la racine de mon site courir un danger.

Salutations
Go to the top of the page
 
eja1968
posté 28 Jun 2005, 11:58
Message #4


Ceinture blanche OSC
Icône de groupe

Groupe : Membres
Messages : 17
Inscrit : 23-March 05
Membre no 5245



Fabien sur NFrance (l'hébergeur) m'a répondu:

QUOTE
aucun problème à enlever ces deux lignes :

http://faqs.les-basics-nfrance.com/infos.php

-> session.use_trans_sid Off <- c est le cas chez Nfrance
-> php_value register_globals 1 <- c est le cas chez Nfrance

ces 2 lignes sont inutiles, vu la configuration des serveurs d'Nfrance


On peut donc mettre en commentaire ces lignes sans virer le .htaccess et sans prendre de risque sur NFrance.

C'étais donc plus un probleme de config PHP (id de session et variables globales) via le .htaccess que de sécurité sur les dossiers. Il devait y avoir interférence avec les paramètres par défaut sur NFrance.

Eric
Go to the top of the page
 

Reply to this topicStart new topic
1 utilisateur(s) sur ce sujet (1 invité(s) et 0 utilisateur(s) anonyme(s))
0 membre(s) :

 



RSS Version bas débit Nous sommes le : 29th March 2024 - 13:06
Ce site est déclaré auprès de la commision Nationale
de l'Informatique et des Libertés (déclaration n°: 1043896)