Puisqu'il semble que certains utilisateurs de SPIP comme moi ne dorment pas, je pose ma petite question qui me turlupine depuis un moment :
imaginons je developpe un site sous SPIP (c'est courant maintenant ) et donc j'ai donc des fichiers php3 a la racine qui sont couples a des fichiers html qui peuvent etre a la racine (par exemple sommaire.html)
mais si je suis un petit malin si j'arrive sur un site "monte" sous SPIP je peux en tapant le fichier sommaire.html par exemple voir comment il est ecrit, c'est a dire que je vois le fichier source et non celui qui apparait pour le visiteur du site, ce qui peut par exemple permettre de voir les boucles ainsi que les chemins en clairs de fichiers que l'on desire pas montrer
a moins bien sur de mettre tous les fichiers html dans des repertoires specifiques bien sur, mais la majorite des utilisateurs de SPIP ont-ils le reflexe ?
Alors est ce que ma question est idiote vue l'heure ou est-ce que je touche un petit point sensible ?
Allez bonne nuit a ceux et celles qui comem moi sont encore derriere l'ecran
je pense qu'en utilisant un $repertoire_squelettes on arrive a
contourner le probleme.
Joel
On Sun, 27 Apr 2003 03:49:37 +0200
laurent <laurent.dubourg@wanadoo.fr> wrote:
Bonjour
Puisqu'il semble que certains utilisateurs de SPIP comme moi ne
dorment pas, je pose ma petite question qui me turlupine depuis un
moment :
imaginons je developpe un site sous SPIP (c'est courant maintenant
) et donc j'ai donc des fichiers php3 a la racine qui sont couples a
des fichiers html qui peuvent etre a la racine (par exemple
sommaire.html) mais si je suis un petit malin si j'arrive sur un site
"monte" sous SPIP
je peux en tapant le fichier sommaire.html par exemple voir
comment il est ecrit, c'est a dire que je vois le fichier source et
non celui qui apparait pour le visiteur du site, ce qui peut par
exemple permettre de voir les boucles ainsi que les chemins en clairs
de fichiers que l'on desire pas montrer
a moins bien sur de mettre tous les fichiers html dans des repertoires
specifiques bien sur, mais la majorite des utilisateurs de SPIP
ont-ils le reflexe ?
Alors est ce que ma question est idiote vue l'heure ou est-ce que je
touche un petit point sensible ?
Allez bonne nuit a ceux et celles qui comem moi sont encore derriere
l'ecran
> je peux en tapant le fichier sommaire.html par exemple voir
> comment il est ecrit, c'est a dire que je vois le fichier source et
> non celui qui apparait pour le visiteur du site, ce qui peut par
> exemple permettre de voir les boucles
A mon sens ce n'est pas un problême. Tu fais partie de la communauté SPIP
que tu utilises gratos et avec la bonne volonté des gens qui la font. C'est
donc un juste retour des choses que de permettre aux autres de voir tes
squellettes et d'utiliser tes boucles si elles ont un truc de spécial. Ne
penses tu pas?
sauf si tu as du code PHP dedans qui se connecte a une base de donnees
avec un mot de passe...
pas sur si ton serveur web intercepte ca et execute le php avant de te
le livrer.
> > je peux en tapant le fichier sommaire.html par exemple voir
> > comment il est ecrit, c'est a dire que je vois le fichier source
> > et non celui qui apparait pour le visiteur du site, ce qui peut
> > par exemple permettre de voir les boucles
A mon sens ce n'est pas un problême. Tu fais partie de la communauté
SPIP que tu utilises gratos et avec la bonne volonté des gens qui la
font. C'est donc un juste retour des choses que de permettre aux
autres de voir tes squellettes et d'utiliser tes boucles si elles ont
un truc de spécial. Ne penses tu pas?
Le dimanche, 27 avr 2003, à 15:11 Europe/Paris, David Lemonnier a écrit :
A mon sens ce n'est pas un problême. Tu fais partie de la communauté SPIP
que tu utilises gratos et avec la bonne volonté des gens qui la font. C'est
donc un juste retour des choses que de permettre aux autres de voir tes
squellettes et d'utiliser tes boucles si elles ont un truc de spécial. Ne
penses tu pas?
Entièrement d'accord... mais ceci n'est-il pas un "trou" de sécurité ? C'est bien de travailler sous SPIP, mais finalement, c'est peut-être bien que le "public" ne le sache pas (de trop), car ces informations pourraient bien être exploitées par des hackers, non ?
Bon, l'astuce est d'utiliser des noms de fichiers.html n'ayant aucun rapport avec le .php, comme ça, on rend la vie difficile aux hackers, mais par le même coup aussi au webmestre !
J'en fait pas une affaire, mais il est vrai que j'aurais préféré l'utilisation exclusive de fichiers "parsés" en .php. D'ailleurs, cela pourrait être une option ?
--
Fabrice
Moi quand j'ai construit mon site ( www.ufp.qc.ca ) j'avais "cacher"
tous mes fichiers html.... et puis là je me suis demander pourquoi
exactement j'avais fait cela.... spip est libre !!!! mes squelettes le
doivent l'être aussi.... si seulement mais squelettes pouvaient aider
quelqu'un du quart de la demi de ce que j'ai pu profiter grace à la
coummunauté... TANT MIEUX !!!!!
Bye !!
Éric
laurent a écrit:
Bonjour
Puisqu'il semble que certains utilisateurs de SPIP comme moi ne dorment pas, je pose ma petite question qui me turlupine depuis un moment :
imaginons je developpe un site sous SPIP (c'est courant maintenant ) et donc j'ai donc des fichiers php3 a la racine qui sont couples a des fichiers html qui peuvent etre a la racine (par exemple sommaire.html)
mais si je suis un petit malin si j'arrive sur un site "monte" sous SPIP je peux en tapant le fichier sommaire.html par exemple voir comment il est ecrit, c'est a dire que je vois le fichier source et non celui qui apparait pour le visiteur du site, ce qui peut par exemple permettre de voir les boucles ainsi que les chemins en clairs de fichiers que l'on desire pas montrer
a moins bien sur de mettre tous les fichiers html dans des repertoires specifiques bien sur, mais la majorite des utilisateurs de SPIP ont-ils le reflexe ?
Alors est ce que ma question est idiote vue l'heure ou est-ce que je touche un petit point sensible ?
Allez bonne nuit a ceux et celles qui comem moi sont encore derriere l'ecran
>Moi quand j'ai construit mon site ( www.ufp.qc.ca ) j'avais "cacher" >tous mes fichiers html.... et puis là je me suis demander pourquoi >exactement j'avais fait cela.... spip est libre !!!! mes squelettes le >doivent l'être aussi.... si seulement mais squelettes pouvaient aider >quelqu'un du quart de la demi de ce que j'ai pu profiter grace à la >coummunauté... TANT MIEUX !!!!!
Et je reponds ....
Oula mais je suis tout a fait d'accord avec toi comme avec David et bien d'autres, il faut laisser SPIP ouvert de ce point de vue la !!
Cette question je la posais plus dans le but de poser une question a 03h49 du matin
Tout simplement !
Il y a en a bien qui font des messages de test dans la journee car il n'y a plus de trafic
Mais pour certains sites professionnels cela peut etre (j'ai bien dit peut etre) un inconvenient qui n'est pas saisi du premier coup d'oeil obligatoirement par les concepteurs (bien que !!!).
Et puis si j'ai amene cette question c'est que je tiens a SPIP en tant qu'utilisateur et il pourrait avoir des detracteurs (car il en existe je suis sur) qui pourraient mettre cette fonctionnalite (j'ai pas dit "trou de securite") en avant pour montrer que SPIP n'est pas une application dite "stable" ou tout autres termes appropries.
Bon voila ce que m'avait amene ma reflexion de 03h48 du matin mise en ligne a 03h49
Entièrement d'accord... mais ceci n'est-il pas un "trou" de sécurité ?
C'est bien de travailler sous SPIP, mais finalement, c'est peut-être
bien que le "public" ne le sache pas (de trop), car ces informations
pourraient bien être exploitées par des hackers, non ?
Bon, l'astuce est d'utiliser des noms de fichiers.html n'ayant aucun
rapport avec le .php, comme ça, on rend la vie difficile aux hackers,
mais par le même coup aussi au webmestre !
J'en fait pas une affaire, mais il est vrai que j'aurais préféré
l'utilisation exclusive de fichiers "parsés" en .php. D'ailleurs, cela
pourrait être une option ?
Ben, tu fais un include("mon_machin_prive.php"), et puis voila.
Et je rajoute avec le sourire, faudrait que je sois un webestre d'un site européen... comme ca, quand il est 22h48 ici il est 3h48 là bas !!!
:)))))))))
Bye !!!
laurent a écrit:
Bonjour
Dans ce courrier il est dit ....
>Moi quand j'ai construit mon site ( www.ufp.qc.ca ) j'avais "cacher" >tous mes fichiers html.... et puis là je me suis demander pourquoi >exactement j'avais fait cela.... spip est libre !!!! mes squelettes le >doivent l'être aussi.... si seulement mais squelettes pouvaient aider >quelqu'un du quart de la demi de ce que j'ai pu profiter grace à la >coummunauté... TANT MIEUX !!!!!
Et je reponds ....
Oula mais je suis tout a fait d'accord avec toi comme avec David et bien d'autres, il faut laisser SPIP ouvert de ce point de vue la !!
Cette question je la posais plus dans le but de poser une question a 03h49 du matin
Tout simplement !
Il y a en a bien qui font des messages de test dans la journee car il n'y a plus de trafic
Mais pour certains sites professionnels cela peut etre (j'ai bien dit peut etre) un inconvenient qui n'est pas saisi du premier coup d'oeil obligatoirement par les concepteurs (bien que !!!).
Et puis si j'ai amene cette question c'est que je tiens a SPIP en tant qu'utilisateur et il pourrait avoir des detracteurs (car il en existe je suis sur) qui pourraient mettre cette fonctionnalite (j'ai pas dit "trou de securite") en avant pour montrer que SPIP n'est pas une application dite "stable" ou tout autres termes appropries.
Bon voila ce que m'avait amene ma reflexion de 03h48 du matin mise en ligne a 03h49
Entièrement d'accord... mais ceci n'est-il pas un "trou" de sécurité ?
C'est bien de travailler sous SPIP, mais finalement, c'est peut-être
bien que le "public" ne le sache pas (de trop), car ces informations
pourraient bien être exploitées par des hackers, non ?
L'éventuel problème de sécurité ne vient pas du fait d'avoir accès à tes
squelettes mais d'utiliser un outil dont le code est librement accessible à
tout le monde. Ce qui rend l'examen de son fonctionnement plus facile
(comparé à une solution non diffusée) et la détection des faiblesses à la
portée du pirate un peu connaisseur (et non hacker qui n'est pas forcément
un pirate).
À partir de là, je ne pense pas que les attaques sur les outils publics et
libres soient plus importantes que les attaques sur les autres interfaces en
général. Ni qu'un outil public et libre soit moins vite corrigé et patché
qu'un outil commercial ou un outil perso de développeur.
) et donc j'ai donc des fichiers php3 a la racine qui sont couples a des fichiers html qui peuvent etre a la racine (par exemple sommaire.html)
