sous répertoires spip accessibles

FredM · Février 13, 2025, 9:27

Bonsoir,
Je viens de me rendre compte sur le site spip que je gère que l’ensemble des sous-répertoires sont accessibles, visibles au public et même indexés par google…
Par exemple si je tape l’url /monsite.com/squelettes je vois la liste de tous les fichiers, etc…
Je n’ai pas l’impression que ce soit un fonctionnement normal mais pour autant je n’arrive pas à résoudre le problème.
Est-ce que vous pourriez me confirmer que tout cela est normalement géré par le .htaccess à la racine du site?
J’ai tenté en local de reprendre le fichier .htaccess de base de spip et pour autant le résultat est le même.
Merci d’avance pour votre aide

RealET · Février 13, 2025, 9:44

C’est un paramètre qui est « classiquement » géré par l’hébergeur.

Ceci dit, tu peux rajouter ça dans le .htaccess :
options -indexes

maathieu · Février 14, 2025, 12:28

Est-ce qu’on peut envisager d’avoir cette ligne dans le htaccess.txt fourni avec Spip ?

b_b · Février 14, 2025, 3:00

La question peut se poser oui, tu ouvres un ticket à ce sujet par ici spip / spip · GitLab ?

nicod · Février 14, 2025, 4:12

Oui, ce serait pas mal d’inclure ça au cas où le serveur ne soit pas configuré avec par défaut.
Ce « souci » avait déjà été remonté ici.
Tu ouvres un ticket @maathieu si tu as un compte, ou tu veux qu’on le fasse ?

pierretux · Février 14, 2025, 7:19

Je l’ai fais Sous répertoires accessible (#6061) · Tickets · spip / spip · GitLab pour ne pas oublier

Natacha_Courcelles · Février 15, 2025, 9:16

Dans Prestashop tous les répertoires contiennent

un htaccess

# Apache 2.2
<IfModule !mod_authz_core.c>
    Order deny,allow
    Deny from all
</IfModule>

# Apache 2.4
<IfModule mod_authz_core.c>
    Require all denied
</IfModule>

et un fichier index.php

header('Expires: Mon, 26 Jul 1997 05:00:00 GMT');
header('Last-Modified: ' . gmdate('D, d M Y H:i:s') . ' GMT');

header('Cache-Control: no-store, no-cache, must-revalidate');
header('Cache-Control: post-check=0, pre-check=0', false);
header('Pragma: no-cache');

header('Location: ../');
exit;

maathieu · Février 17, 2025, 10:16

Merci ! non je n’ai pas de compte gitlab

choucas · Février 17, 2025, 10:25

Bonjour,

de mon coté, l’hébergeur indique que c’est normal, et que c’est au client de choisir à son niveau, en fonction de ses besoins.
De mon coté, et depuis toujours, j’ai de simples index.html avec une redirection ver l’accueil.
Précision,
Vu la rusticité du truc, je ne protège que IMG et ses sous dossiers
Clt