Bonjour,
Je viens de remarquer que tous mes répertoires et fichiers dans le sous-répertoire /squelettes sont librement accessible par le Web (même chose pour /squelettes-dist), même le listing des répertoires est possible.
Quel est l’approche standard de régler ce problème, est-ce que SPIP prévoit qqchose pour ça ?
Ou est-ce que je dois mettre un .htaccess pour le faire ?
Merci !
Le 26/04/2020 à 17:34, Scheurer Rudolf a écrit :
Bonjour,
Je viens de remarquer que tous mes répertoires et fichiers dans le sous-répertoire /squelettes sont librement accessible par le Web (même chose pour /squelettes-dist), même le listing des répertoires est possible.
Quel est l’approche standard de régler ce problème, est-ce que SPIP prévoit qqchose pour ça ?
Ou est-ce que je dois mettre un .htaccess pour le faire ?Merci !
Bonjour,
Normalement tu as le htaccess de SPIP, tu le renomme en .htaccess et rajoute au début
RewriteEngine On
Options -Indexes
oups j’avais pas vu que je répondais en privé …
je transfère sur la liste
ben non pas a ma connaissance c’est a dire, quel est pour toi le problème de sécurité que cela peu engendré ?
Je résume mes constatations :
· Le fichier .htaccess fournit par SPIP n’empêche pas le listing des répertoires.
· Heureusement les hébergeurs prévoient souvent une directive de base dans leur serveur pour empêcher le listing de répertoires (configurable dans le dashboard).
· Mais si ce n’est pas le cas et si le moteur de SPIP ne le fait pas, des utilisateurs inattentifs ne se rend pas compte de ça. Alors ça représente un risque de sécurité, surtout concernant le contenu du répertoire /squelettes ou il peut y avoir des informations sensibles.
· Le fichier .htaccess fournit par SPIP n’empêche pas d’accéder aux fichiers html des squelettes.
· Comme ces fichiers ne sont que nécessaire pour le moteur SPIP et qu’ils ne sont pas là pour être servie vers le publique, il faudrait pas exposer qqchose en publique si ce n’est pas nécessaire (principe de sécurité de base). Si nous on ne trouve pas de vecteur d’attaque, un attaquant smart va peut-être le faire …
IMHO Je pense que SPIP devrait adresser ce problème (peut-être jugé mineur mais pas négligeable).
From: teamspipfactory@gmail.com teamspipfactory@gmail.com
Sent: Monday, 27. April 2020 10:58
Subject: Re: [Spip] Sécurité : limiter l’accès aux fichiers
Le 27/04/2020 à 10:23, Scheurer Rudolf a écrit :
Le fichier fournit de SPIP est correctement installé sous le nom de .htaccess et il ne contient aucune directive pour éviter le listing d’un répertoire (ni « Options -Indexes »), ni des directives pour refuser l’accès au fichier squelette *.html
Je soupçonne que c’est avec une option de l’hébergeur de spipfactory.fr que le listing est désactivé.
ben non pas a ma connaissance
D’ailleurs le squelette sous https://spipfactory.fr/squelettes-dist/article.html est accessible … ce que je trouve pas idéal point de vue sécurité.
c’est a dire, quel est pour toi le problème de sécurité que cela peu engendré ?
From: teamspipfactory@gmail.com teamspipfactory@gmail.com
Sent: Monday, 27. April 2020 09:59
Subject: Re: [Spip] Sécurité : limiter l’accès aux fichiersLe 27/04/2020 à 09:06, Scheurer Rudolf a écrit :
Oui!Mais c’est quand même possible d’accéder à par exemple /squelettes-dist/article.html ou même à /squelettes-dist/ !bizarre je ne reproduis pas ! https://spipfactory.fr/squelettes-dist/
une URL , quel hébergeur, sur pour le htaccess.txt renommer **.**htaccess
Von meinem iPhone gesendetAm 27.04.2020 um 07:14 schrieb "[teamspipfactory@gmail.com](mailto:teamspipfactory@gmail.com)[<mailto:teamspipfactory@gmail.com>](mailto:teamspipfactory@gmail.com)" <[teamspipfactory@gmail.com](mailto:teamspipfactory@gmail.com)[<mailto:teamspipfactory@gmail.com>](mailto:teamspipfactory@gmail.com)>:Bonjour,Avez vous activer le htaccess fournie par SPIPLe 26/04/2020 à 17:34, Scheurer Rudolf a écrit :Bonjour,Je viens de remarquer que tous mes répertoires et fichiers dans le sous-répertoire /squelettes sont librement accessible par le Web (même chose pour /squelettes-dist), même le listing des répertoires est possible.Quel est l’approche standard de régler ce problème, est-ce que SPIP prévoit qqchose pour ça ?Ou est-ce que je dois mettre un .htaccess pour le faire ?Merci !_______________________________________________liste spip[spip@rezo.net](mailto:spip@rezo.net)[<mailto:spip@rezo.net>](mailto:spip@rezo.net) - désabonnement : envoyer un mail à [spip-off@rezo.net](mailto:spip-off@rezo.net)[<mailto:spip-off@rezo.net>](mailto:spip-off@rezo.net)Archives : [https://www.mail-archive.com/spip@rezo.net/maillist.html](https://www.mail-archive.com/spip@rezo.net/maillist.html)Infos : [https://listes.rezo.net/mailman/listinfo/spip](https://listes.rezo.net/mailman/listinfo/spip)Documentation de SPIP : [http://www.spip.net/](http://www.spip.net/)Irc : de l'aide à toute heure : [http://spip.net/irc](http://spip.net/irc)--spipfactory.fr[<http://spipfactory.fr>](http://spipfactory.fr)----Perdu dans la Galaxie SPIP ? : [https://boussole.spip.net/](https://boussole.spip.net/)---Tout SPIPeur, qui fait quelquechose,a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire,et surtout la grande armée des gens, beaucoup plus sévéres, qui ne fait rien.Merci a ceux qui font.--spipfactory.fr----Perdu dans la Galaxie SPIP ? : [https://boussole.spip.net/](https://boussole.spip.net/)---Tout SPIPeur, qui fait quelquechose,a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire,et surtout la grande armée des gens, beaucoup plus sévéres, qui ne fait rien.Merci a ceux qui font.
--
spipfactory.fr
----
Perdu dans la Galaxie SPIP ? : [https://boussole.spip.net/](https://boussole.spip.net/)
---
Tout SPIPeur, qui fait quelquechose,
a contre lui ceux qui voudraient faire la même chose, ceux qui font précisément le contraire,
et surtout la grande armée des gens, beaucoup plus sévéres, qui ne fait rien.
Merci a ceux qui font.
Le 27/04/2020 à 11:45, Scheurer Rudolf a écrit :
Je résume mes constatations :
·Le fichier .htaccessfournit par SPIP n’empêche pas le listing des répertoires.
·Heureusement les hébergeurs prévoient souvent une directive de base dans leur serveur pour empêcher le listing de répertoires (configurable dans le dashboard).
·Mais si ce n’est pas le cas et si le moteur de SPIP ne le fait pas, des utilisateurs inattentifs ne se rend pas compte de ça. Alors ça représente un risque de sécurité, surtout concernant le contenu du répertoire /squelettesou il peut y avoir des informations sensibles.
·Le fichier .htaccessfournit par SPIP n’empêche pas d’accéder aux fichiers html des squelettes.
·Comme ces fichiers ne sont que nécessaire pour le moteur SPIP et qu’ils ne sont pas là pour être servie vers le publique, il faudrait pas exposer qqchose en publique si ce n’est pas nécessaire (principe de sécurité de base). Si nous on ne trouve pas de vecteur d’attaque, un attaquant smart va peut-être le faire …
faut, les images et les css et les js qui sont dans squelettes doivent être servie en publique. On ne peut pas du coup bloquer /squelttes. On pourrait à la rigueur bloquer les .html par défaut, mais on aussi des gens qui veulent explicitement mettre à dispo les squelettes.
la sécurité par l'obscurité est generalement pas la politique de spip.
Quoi qu'il en soit, il te coute rien d'écrire à la team, qui te fera une réponse plus détaillée
IMHO Je pense que SPIP devrait adresser ce problème (peut-être jugé mineur mais pas négligeable).
*From:*teamspipfactory@gmail.com <teamspipfactory@gmail.com>
*Sent:* Monday, 27. April 2020 10:58
*Subject:* Re: [Spip] Sécurité : limiter l'accès aux fichiers
Le 27/04/2020 à 12:13, Maïeul Rouquette a écrit :
la sécurité par l'obscurité est generalement pas la politique de spip.
Le sujet est introduit là :
Là aussi
Si tes squelettes sont vulnérables, c'est un problème en soi,
qu'il faut corriger prioritairement.
« Security through obscurity would be burying your money under a tree. The only thing that makes it safe is no one knows it's there. Real security is putting it behind a lock or combination, say in a safe. You can put the safe on the street corner because what makes it secure is that no one can get inside it but you. »
JL
Le 27/04/2020 à 12:35, JLuc a écrit :
Le 27/04/2020 à 12:13, Maïeul Rouquette a écrit :
la sécurité par l'obscurité est generalement pas la politique de spip.
Le sujet est introduit là :
Sécurité par l'obscurité — WikipédiaLà aussi
https://securitytrails.com/blog/security-through-obscuritySi tes squelettes sont vulnérables, c'est un problème en soi,
qu'il faut corriger prioritairement.« Security through obscurity would be burying your money under a tree. The only thing that makes it safe is no one knows it's there. Real security is putting it behind a lock or combination, say in a safe. You can put the safe on the street corner because what makes it secure is that no one can get inside it but you. »
JL
Ou faire un plugin du squelette.. Mais voit on le dossier plugins et son sous-dossier?
Bernard
faut, les images et les css et les js qui sont dans squelettes doivent être servie en publique.
Je parlais des fichiers html
On ne peut pas du coup bloquer /squelettes.
C'était pas mon intention. Mais d'en moins bloquer l'accès au listing du répertoire.
On pourrait à la rigueur bloquer les .html par défaut, mais on aussi des gens qui veulent explicitement mettre à dispo les squelettes.
OK, alors c'est leur choix (de manière conscient), mais il y en a meilleures moyens de partager
la sécurité par l'obscurité est généralement pas la politique de spip.
Ce n'est de nouveau pas le point. Il s'agit pas de cacher, mais de réduire la surface d'attaque si la surface en question ne sert à rien (point de vue de la fonctionnalité de SPIP)
-----Original Message-----
From: Maïeul Rouquette <maieul@maieul.net>
Sent: Monday, 27. April 2020 12:14
Subject: Re: Sécurité : limiter l'accès aux fichiers
Le 27/04/2020 à 11:45, Scheurer Rudolf a écrit :
Je résume mes constatations :
·Le fichier .htaccessfournit par SPIP n’empêche pas le listing des
répertoires.·Heureusement les hébergeurs prévoient souvent une directive de base
dans leur serveur pour empêcher le listing de répertoires
(configurable dans le dashboard).·Mais si ce n’est pas le cas et si le moteur de SPIP ne le fait pas,
des utilisateurs inattentifs ne se rend pas compte de ça. Alors ça
représente un risque de sécurité, surtout concernant le contenu du
répertoire /squelettesou il peut y avoir des informations sensibles.·Le fichier .htaccessfournit par SPIP n’empêche pas d’accéder aux
fichiers html des squelettes.·Comme ces fichiers ne sont que nécessaire pour le moteur SPIP et
qu’ils ne sont pas là pour être servie vers le publique, il faudrait
pas exposer qqchose en publique si ce n’est pas nécessaire (principe
de sécurité de base). Si nous on ne trouve pas de vecteur d’attaque,
un attaquant smart va peut-être le faire …
faut, les images et les css et les js qui sont dans squelettes doivent être servie en publique. On ne peut pas du coup bloquer /squelttes. On pourrait à la rigueur bloquer les .html par défaut, mais on aussi des
gens qui veulent explicitement mettre à dispo les squelettes.
la sécurité par l'obscurité est generalement pas la politique de spip.
Quoi qu'il en soit, il te coute rien d'écrire à la team, qui te fera une réponse plus détaillée
IMHO Je pense que SPIP devrait adresser ce problème (peut-être jugé
mineur mais pas négligeable).*From:*teamspipfactory@gmail.com <teamspipfactory@gmail.com>
*Sent:* Monday, 27. April 2020 10:58
*Subject:* Re: [Spip] Sécurité : limiter l'accès aux fichiers
Je répète encore une fois, ce n'est pas un problème de "Security by
Obscurity", empêcher l'accès n'est pas la même chose que cacher ...
Il s'agit tout simplement de minimiser la surface d'attaque et d'éviter des
fuites d'informations qui peuvent servir à un attaquant.
-----Original Message-----
From: Bernard Blazin
Sent: Monday, 27. April 2020 13:12
Subject: Re: [Spip] Sécurité : limiter l'accès aux fichiers
Le 27/04/2020 à 12:35, JLuc a écrit :
Le 27/04/2020 à 12:13, Maïeul Rouquette a écrit :
la sécurité par l'obscurité est generalement pas la politique de spip.
Le sujet est introduit là :
https://fr.wikipedia.org/wiki/Sécurité_par_l'obscurit�%A
9Là aussi
https://securitytrails.com/blog/security-through-obscuritySi tes squelettes sont vulnérables, c'est un problème en soi, qu'il
faut corriger prioritairement.« Security through obscurity would be burying your money under a tree.
The only thing that makes it safe is no one knows it's there. Real
security is putting it behind a lock or combination, say in a safe.
You can put the safe on the street corner because what makes it secure
is that no one can get inside it but you. »JL
Ou faire un plugin du squelette.. Mais voit on le dossier plugins et son
sous-dossier?
Bernard
_______________________________________________
liste spip
spip@rezo.net - désabonnement : envoyer un mail à spip-off@rezo.net
Archives : https://www.mail-archive.com/spip@rezo.net/maillist.html
Infos : https://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
Irc : de l'aide à toute heure : http://spip.net/irc
Le 27/04/2020 à 13:30, Scheurer Rudolf a écrit :
faut, les images et les css et les js qui sont dans squelettes doivent être servie en publique.
Je parlais des fichiers html
On ne peut pas du coup bloquer /squelettes.
C'était pas mon intention. Mais d'en moins bloquer l'accès au listing du répertoire.
On pourrait à la rigueur bloquer les .html par défaut, mais on aussi des gens qui veulent explicitement mettre à dispo les squelettes.
OK, alors c'est leur choix (de manière conscient), mais il y en a meilleures moyens de partager
oui il y a d'autre manière de partage
oui mais comme le dossier squelettes n'existe pas par défaut dans SPIP, si jamais on rajoutait automatiquement un .htaccess dedans (comme cela l'est pour les dossier par défaut de SPIP), on empecherait cette possibilité, et donc on casserait des fonctionnements.
Encore une fois rien ne t'empeche de régler les listages au niveau de ton hebergeur/via .htaccess
la sécurité par l'obscurité est généralement pas la politique de spip.
Ce n'est de nouveau pas le point. Il s'agit pas de cacher, mais de réduire la surface d'attaque si la surface en question ne sert à rien (point de vue de la fonctionnalité de SPIP)