Bonjour,
Je sais que pour ainsi dire je n'interviens jamais ici, mais en tant
qu'utilisateur de nginx il y a juste quelques réponses qui m'ont fait
tiquer.
Tout les serveurs ne sont pas sur apache, donc la protection par
.htaccess n'est pas si fiable que ca.
Surtout que (bon, j'ai peut être mal cherché) :
- Je n'ai trouvé aucune occurrence à nginx (pour ne citer que lui, 12%
de pdm[1] tout de même) dans la documentation en ligne
- Pire, je n'ai pas trouvé de "liste" des répertoires à protéger dans
le cas d'un serveur non-apache sur la page d'installation
- Pour finir, ca illustre bien le problème je trouve, le premier
résultat de la requête "dotclear nginx"[2] dans Google renvoi vers un
billet expliquant la configuration de nginx pour dotclear[3] où,
justement, l'auteur ne sécurise pas les répertoires sensibles. Alors oui
le lien est vieux de presque 3 ans, mais il reste le premier résultat.
[1]
http://news.netcraft.com/archives/2013/01/07/january-2013-web-server-survey-2.html
[2] http://www.google.com/search?q=dotclear+nginx
[3] http://blog.crifo.org/post/2010/07/01/Dotclear-avec-Nginx
Le 11/04/2013 10:36, Nicolas a écrit :
Certes mais ça ne suffit pas forcément d'uploader les .htaccess. Par
exemple, j'ai pris pour habitude de désactiver leur utilisation de
manière globale sur mon serveur.
_______________________________________________
Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
Le 10/04/2013 07:39, Dsls a écrit :> > Mais on a fixé ces trucs, non ?
>
> Le monsieur (mais pas que lui) ne regarde pas plus loin que le bout de
> son nez et se contente d'inventer de potentielles vulnérabilités. Sauf
> que toute install dotclear a son répertoire inc/ joliment protégé par un
> .htaccess qui contient un magnifique deny from all
>
>
>
> _______________________________________________
> Dev mailing list - [email protected] -
http://ml.dotclear.org/listinfo/dev
>
_______________________________________________
Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
