[spip-dev] installation - regler les droits d'accès

Bonsoir,

on vient de me signaler que ce n'est pas bon de suivre l'aide en ligne en ce qui
concerne les droits d'accès. Je cite :

"si cette modification se fait en mode « texte », la configuration numérique est
« 777 ». "

Est-ce qu'il y a un risque de sécurité évident et comment la procédure
d'installation automatique regle-t-elle ces droits?

Est-ce que ce point a été modifié dans les versions actuelles et qu'est ce qu'il
faudrait dire aux inquiets?

Klaus.

From antoine@rezo.net Tue Mar 11 22:33:15 2003

Return-Path: <antoine@rezo.net>
Received: from kraid.nerim.net (smtp-102.nerim.net [62.4.16.102])
  by miel.brainstorm.fr (Postfix) with ESMTP id A4C5C1C8C18
  for <spip-dev@rezo.net>; Tue, 11 Mar 2003 22:33:15 +0100 (CET)
Received: from aboukir-101-1-3.net1.nerim.net (aboukir-101-1-3.net1.nerim.net
  [213.41.182.3]) by kraid.nerim.net (Postfix) with ESMTP id C1F6340E34
  for <spip-dev@rezo.net>; Tue, 11 Mar 2003 22:33:13 +0100 (CET)
  =?ISO-8859-1?Q?d'acc=E8s?=
In-Reply-To: <3E6E4D4B.28697.1F70CDD9@localhost>
References: <3E6E4D4B.28697.1F70CDD9@localhost>
Content-Type: text/plain; charset=ISO-8859-1
Organization:
Message-Id: <1047418374.3347.71.camel@fsol>
Mime-Version: 1.0
X-Mailer: Ximian Evolution 1.2.1
Content-Transfer-Encoding: 8bit
X-BeenThere: spip-dev@rezo.net
X-Mailman-Version: 2.1.1+
Precedence: list
List-Id: SPIP : developpement <spip-dev.rezo.net>
List-Unsubscribe: <http://listes.rezo.net/mailman/listinfo/spip-dev>,
  <mailto:spip-dev-request@rezo.net?subject=unsubscribe>
List-Archive: <http://listes.rezo.net/archives/spip-dev>
List-Post: <mailto:spip-dev@rezo.net>
List-Help: <mailto:spip-dev-request@rezo.net?subject=help>
List-Subscribe: <http://listes.rezo.net/mailman/listinfo/spip-dev>,
  <mailto:spip-dev-request@rezo.net?subject=subscribe>
X-List-Received-Date: Tue, 11 Mar 2003 21:33:15 -0000
Status: O
Content-Length: 777
Lines: 23

Salut,

on vient de me signaler que ce n'est pas bon de suivre l'aide en ligne en ce qui
concerne les droits d'accès. Je cite :

"si cette modification se fait en mode « texte », la configuration numérique est
« 777 ». "

Est-ce qu'il y a un risque de sécurité évident et comment la procédure
d'installation automatique regle-t-elle ces droits?

Le problème, c'est que SPIP ne peut rien savoir (enfin, pas grand'chose)
sur la façon dont est gérée la machine qui l'accueille. Par conséquent,
on conseille le réglage qui fonctionne le plus souvent, c'est-à -dire
forcément le moins sûr. Il peut y avoir un risque de sécurité sur
certaines configurations mais c'est à l'administrateur de la machine
qu'il revient de régler le problème.

Amicalement

Antoine.

Salut,
> on vient de me signaler que ce n'est pas bon de suivre l'aide en ligne en ce qui
> concerne les droits d'accès. Je cite :
>
> "si cette modification se fait en mode « texte », la configuration numérique est
> « 777 ». "
>
> Est-ce qu'il y a un risque de sécurité évident et comment la procédure

Oui.

> d'installation automatique regle-t-elle ces droits?
Le problème, c'est que SPIP ne peut rien savoir (enfin, pas grand'chose)
sur la façon dont est gérée la machine qui l'accueille. Par conséquent,
on conseille le réglage qui fonctionne le plus souvent, c'est-à-dire
forcément le moins sûr. Il peut y avoir un risque de sécurité sur
certaines configurations mais c'est à l'administrateur de la machine
qu'il revient de régler le problème.

Personellement je repasser le repertoire ecrire en 755 et les fichiers
en 644, sauf CACHE et img (pour les uploads). PAr contre, évidemment, on
ne peut plus modifier les paramètres depuis spip directement, à moins de
remettre inc_meta* en 666 et ecrire en 777 le temps de la modif.

Personellement je repasser le repertoire ecrire en 755 et les fichiers
en 644, sauf CACHE et img (pour les uploads). PAr contre, évidemment, on
ne peut plus modifier les paramètres depuis spip directement, à moins de
remettre inc_meta* en 666 et ecrire en 777 le temps de la modif.

C'est idiot : on devrait mettre inc_meta_cache.php3 dans ecrire/data/ ...

-- Fil

Oui et non. Personellement, je préfère désactiver les modifications des
options de conf par l'utilisateur nobody.