J'aimerais qu'on me rassure: même dans les nouveaux SPIP, le fichier
.htpasswd continue bien d'être mis à jour? J'utilise un système
d'autorisation basé sur l'IP (il faut être dans le groupe des écoles
des télécommunications) ou le mot de passe (lorsqu'on est en dehors).
Il est donc important pour moi que le .htpasswd soit toujours mis à
jour lors de la création ou la modification d'un compte, en plus de la
gestion des sessions. Est-ce bien toujours le cas?
Ben... pour l'instant, oui, mais je me posais justement la question.
Le problème est que si jamais le .htaccess du répertoire data/ (deny
from all) est inopérant, n'importe qui pourra récupérer le .htpasswd,
c'est moyen niveau sécurité. C'est notamment le cas sur IIS (qui ne
connaît pas .htaccess), mais pourrait être de même sur un Apache qui
serait configuré pour ne pas reconnaître les .htaccess.
Donc, si ce .htpasswd sert à certains, il faudrait trouver le moyen
de le mettre dans un endroit absolument hors d'accès.
Une case à cocher sur le site disant qu'on veut le générer ou pas, et qui,
dans l'aide, contient les lignes à mettre dans le .htaccess pour le
protéger?
Une case à cocher sur le site disant qu'on veut le générer ou pas, et qui,
dans l'aide, contient les lignes à mettre dans le .htaccess pour le
protéger?
A mon avis il faut laisser comme ça : car si par défaut on change, et que
quelqu'un compte là-dessus pour sa sécurité, on le plante. Si par défaut on
laisse le réglage que tu proposes sur "créer le htpasswd", ceux qui sont
capables de comprendre ce réglage et d'y trouver un intérêt sont aussi
capables de protéger le fichier en question...
En revanche penser à mentionner ce problème éventuel dans un éventuel
article sur spip et la sécurité, si quelqu'un a envie de l'écrire...
Une case à cocher sur le site disant qu'on veut le générer ou pas, et qui,
dans l'aide, contient les lignes à mettre dans le .htaccess pour le
protéger?
A mon avis il faut laisser comme ça : car si par défaut on change, et que
quelqu'un compte là-dessus pour sa sécurité, on le plante. Si par défaut on
laisse le réglage que tu proposes sur "créer le htpasswd", ceux qui sont
capables de comprendre ce réglage et d'y trouver un intérêt sont aussi
capables de protéger le fichier en question...
Je crois que Sam a raison : désactivé par défaut, sauf si le .htpasswd existe
au moment de l'upgrade (pour l'instant, SPIP ne tourne pratiquement que sous
Apache, donc il ne devrait pas y avoir de gros problèmes).
Ca me fait penser que dans pratiquement tous les endroits où il y a un .htaccess,
il faudra prévoir un index.php3 et index.php pour limiter les dégâts (CACHE,
ecrire/data, et IMG/* aussi).
Je crois que Sam a raison : désactivé par défaut, sauf si le .htpasswd
existe au moment de l'upgrade (pour l'instant, SPIP ne tourne pratiquement
que sous Apache, donc il ne devrait pas y avoir de gros problèmes).
Sam a toujours raison Cela dit, il ne faut PAS que le réglage soit
accessible par l'interface : il faut au minimum une authentification par
ftp. Ca me paraît être bcp de travail pour rien, alors qu'un réglage apache
standard suffit.
Ca me fait penser que dans pratiquement tous les endroits où il y a un
.htaccess, il faudra prévoir un index.php3 et index.php pour limiter les
dégâts (CACHE, ecrire/data, et IMG/* aussi).
Oui, mais la dernière fois que j'ai proposé ça on m'a dit que j'étais parano
Oui, mais la dernière fois que j'ai proposé ça on m'a dit que j'étais parano
Oui, désolé, je n'avais pas remarqué qu'il pouvait y avoir des documents
privés (non publiés) dans IMG. Et puis on est en mode parano en ce moment
(tu veux pas forker un SPIP-Stronghold ?).
Sam:
> Ca me fait penser que dans pratiquement tous les endroits où il y a un > .htaccess,
> il faudra prévoir un index.php3 et index.php pour limiter les dégâts (CACHE,
> ecrire/data, et IMG/* aussi).
"security through obscurity", c'est mal. Autant interdire la construction
de la liste des fichiers par l'option appropriée dans ledit .htaccess.
Justement, c'est au cas où le .htaccess est ignoré par le serveur qu'il
faut rajouter une rustine-qui-vaut-mieux-que-rien
> > Je viens de créer depuis mon accès administrateur un accès, avec mot
> > de passe, pour un nouveau rédacteur. Rien n'a été ajouté dans le
> > .htpasswd.
>
> Bizarre, chez moi ça marche (version CVS), ainsi que le .htpassd-admin
En ajoutant depuis l'interface administrateur? (créer un nouvel auteur)
Oui oui.
Ça doit être une bizarrerie locale alors, je chercherai plus tard.
1- créer un nouvel auteur avec un mot de passe trop court, mais tous
les autres champs corrects;
2- après l'erreur, mettre un mot de passe plus long.
En fait, la page de l'étape 2 qui signale l'erreur et représente le
formulaire (toujours rempli avec les informations données dans l'étape 1)
a une particularité que je n'avais pas remarquée: l'auteur est marqué
"à la poubelle".
Donc c'est de ma faute (je n'ai pas revérifié ce champ), mais c'est
également une bizarrerie de SPIP.