Le manque de doc sur une installation nginx est effectivement gênant, et ce n'est pas comme si on ne savait pas le faire : toute l'installation Dotaddict tourne avec ;)
Noé en est le volontaire désigné, je crois Le 12 avril 2013 11:15, Julien Wajsberg <[email protected]> a écrit : > Salut, > > complètement d'accord avec tout ça :) > d'où ma proposition d'intégrer ça dans le script d'install/update. > > > 2013/4/12 445 <[email protected]> >> >> Bonjour, >> >> Je sais que pour ainsi dire je n'interviens jamais ici, mais en tant >> qu'utilisateur de nginx il y a juste quelques réponses qui m'ont fait >> tiquer. >> >> Tout les serveurs ne sont pas sur apache, donc la protection par .htaccess >> n'est pas si fiable que ca. >> >> Surtout que (bon, j'ai peut être mal cherché) : >> - Je n'ai trouvé aucune occurrence à nginx (pour ne citer que lui, 12% de >> pdm[1] tout de même) dans la documentation en ligne >> - Pire, je n'ai pas trouvé de "liste" des répertoires à protéger dans le >> cas d'un serveur non-apache sur la page d'installation >> - Pour finir, ca illustre bien le problème je trouve, le premier résultat >> de la requête "dotclear nginx"[2] dans Google renvoi vers un billet >> expliquant la configuration de nginx pour dotclear[3] où, justement, >> l'auteur ne sécurise pas les répertoires sensibles. Alors oui le lien est >> vieux de presque 3 ans, mais il reste le premier résultat. >> >> >> [1] >> http://news.netcraft.com/archives/2013/01/07/january-2013-web-server-survey-2.html >> [2] http://www.google.com/search?q=dotclear+nginx >> [3] http://blog.crifo.org/post/2010/07/01/Dotclear-avec-Nginx >> >> Le 11/04/2013 10:36, Nicolas a écrit : >> >>> Certes mais ça ne suffit pas forcément d'uploader les .htaccess. Par >>> exemple, j'ai pris pour habitude de désactiver leur utilisation de >>> manière globale sur mon serveur. >>> >>> >>> _______________________________________________ >>> Dev mailing list - [email protected] - >>> http://ml.dotclear.org/listinfo/dev >>> >> >> Le 10/04/2013 07:39, Dsls a écrit :> > Mais on a fixé ces trucs, non ? >> >> > >> > Le monsieur (mais pas que lui) ne regarde pas plus loin que le bout de >> > son nez et se contente d'inventer de potentielles vulnérabilités. Sauf >> > que toute install dotclear a son répertoire inc/ joliment protégé par un >> > .htaccess qui contient un magnifique deny from all >> > >> > >> > >> > _______________________________________________ >> > Dev mailing list - [email protected] - >> > http://ml.dotclear.org/listinfo/dev >> > >> _______________________________________________ >> Dev mailing list - [email protected] - >> http://ml.dotclear.org/listinfo/dev > > > > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev -- Philippe _______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
