Article proposé
---------------
L'article "Sécurité: spip et IIS" est proposé à la publication.
Vous êtes invité à venir le consulter et à donner votre opinion
dans le forum qui lui est attaché. Il est disponible à l'adresse :
http://www.spip.net/ecrire/articles.php3?id_article=2628
** Sécurité: spip et IIS **
par notabene
Sécurité par défaut de spip
Il existe deux dossiers "sensibles" dans spip, ce sont /CACHE/ et
/ecrire/data/. Le premier comporte tous les fichiers qu'utilise votre
cache pour accélérer l'affichage des pages, il est donc moyennement
sensible, mais le deuxième stocke les journaux d'activité de spip (les
spip.log) et vous permet notamment de créer dump.xml, le fichier de
sauvegarde de la base de données.
Or le fichier dump.xml contient des données très sensibles : en
particulier on peut y voir tous les articles, même s'ils ne sont pas
rendus publics sur le site, sans compter (plus grave) qu'il liste les
identifiants et les mots de passe des rédacteurs (et donc des (...)