Salut, complètement d'accord avec tout ça :) d'où ma proposition d'intégrer ça dans le script d'install/update.
2013/4/12 445 <[email protected]> > Bonjour, > > Je sais que pour ainsi dire je n'interviens jamais ici, mais en tant > qu'utilisateur de nginx il y a juste quelques réponses qui m'ont fait > tiquer. > > Tout les serveurs ne sont pas sur apache, donc la protection par .htaccess > n'est pas si fiable que ca. > > Surtout que (bon, j'ai peut être mal cherché) : > - Je n'ai trouvé aucune occurrence à nginx (pour ne citer que lui, 12% de > pdm[1] tout de même) dans la documentation en ligne > - Pire, je n'ai pas trouvé de "liste" des répertoires à protéger dans le > cas d'un serveur non-apache sur la page d'installation > - Pour finir, ca illustre bien le problème je trouve, le premier résultat > de la requête "dotclear nginx"[2] dans Google renvoi vers un billet > expliquant la configuration de nginx pour dotclear[3] où, justement, > l'auteur ne sécurise pas les répertoires sensibles. Alors oui le lien est > vieux de presque 3 ans, mais il reste le premier résultat. > > > [1] http://news.netcraft.com/**archives/2013/01/07/january-** > 2013-web-server-survey-2.html<http://news.netcraft.com/archives/2013/01/07/january-2013-web-server-survey-2.html> > [2] > http://www.google.com/search?**q=dotclear+nginx<http://www.google.com/search?q=dotclear+nginx> > [3] > http://blog.crifo.org/post/**2010/07/01/Dotclear-avec-Nginx<http://blog.crifo.org/post/2010/07/01/Dotclear-avec-Nginx> > > Le 11/04/2013 10:36, Nicolas a écrit : > > Certes mais ça ne suffit pas forcément d'uploader les .htaccess. Par >> exemple, j'ai pris pour habitude de désactiver leur utilisation de >> manière globale sur mon serveur. >> >> >> ______________________________**_________________ >> Dev mailing list - [email protected] - http://ml.dotclear.org/** >> listinfo/dev <http://ml.dotclear.org/listinfo/dev> >> >> > Le 10/04/2013 07:39, Dsls a écrit :> > Mais on a fixé ces trucs, non ? > > > > > Le monsieur (mais pas que lui) ne regarde pas plus loin que le bout de > > son nez et se contente d'inventer de potentielles vulnérabilités. Sauf > > que toute install dotclear a son répertoire inc/ joliment protégé par un > > .htaccess qui contient un magnifique deny from all > > > > > > > > ______________________________**_________________ > > Dev mailing list - [email protected] - http://ml.dotclear.org/** > listinfo/dev <http://ml.dotclear.org/listinfo/dev> > > > ______________________________**_________________ > Dev mailing list - [email protected] - http://ml.dotclear.org/** > listinfo/dev <http://ml.dotclear.org/listinfo/dev> >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
