Comme celle sur tout autre installation qui n'est pas apache. Il est sur que de vouloir décrire l'ensemble des configurations est impossible, d'où au moins la nécessité de lister les répertoires "sensibles" (je ne sais pas si il y en a d'autres que inc/ )
Après je crois me souvenir de mon installation de dokuwiki qui m'avait prévenu que mes dossiers n'étaient pas protégés : ils faisait une chose toute simple qui est de placer une image dans chacun des dossiers censés êtres inacessibles et de l'afficher sur la page après l'install et dans l'admin. Du coup si on voit l'image -> on sait qu'on a un problème Si on ne la voit pas -> elle est inaccessible donc tout va bien. Sinon il y a aussi le petit script js qui va bien. Le 12 avr. 2013 11:39, "Philippe" <[email protected]> a écrit : > Le manque de doc sur une installation nginx est effectivement gênant, > et ce n'est pas comme si on ne savait pas le faire : toute > l'installation Dotaddict tourne avec ;) > > Noé en est le volontaire désigné, je crois > > Le 12 avril 2013 11:15, Julien Wajsberg <[email protected]> a écrit : > > Salut, > > > > complètement d'accord avec tout ça :) > > d'où ma proposition d'intégrer ça dans le script d'install/update. > > > > > > 2013/4/12 445 <[email protected]> > >> > >> Bonjour, > >> > >> Je sais que pour ainsi dire je n'interviens jamais ici, mais en tant > >> qu'utilisateur de nginx il y a juste quelques réponses qui m'ont fait > >> tiquer. > >> > >> Tout les serveurs ne sont pas sur apache, donc la protection par > .htaccess > >> n'est pas si fiable que ca. > >> > >> Surtout que (bon, j'ai peut être mal cherché) : > >> - Je n'ai trouvé aucune occurrence à nginx (pour ne citer que lui, 12% > de > >> pdm[1] tout de même) dans la documentation en ligne > >> - Pire, je n'ai pas trouvé de "liste" des répertoires à protéger dans > le > >> cas d'un serveur non-apache sur la page d'installation > >> - Pour finir, ca illustre bien le problème je trouve, le premier > résultat > >> de la requête "dotclear nginx"[2] dans Google renvoi vers un billet > >> expliquant la configuration de nginx pour dotclear[3] où, justement, > >> l'auteur ne sécurise pas les répertoires sensibles. Alors oui le lien > est > >> vieux de presque 3 ans, mais il reste le premier résultat. > >> > >> > >> [1] > >> > http://news.netcraft.com/archives/2013/01/07/january-2013-web-server-survey-2.html > >> [2] http://www.google.com/search?q=dotclear+nginx > >> [3] http://blog.crifo.org/post/2010/07/01/Dotclear-avec-Nginx > >> > >> Le 11/04/2013 10:36, Nicolas a écrit : > >> > >>> Certes mais ça ne suffit pas forcément d'uploader les .htaccess. Par > >>> exemple, j'ai pris pour habitude de désactiver leur utilisation de > >>> manière globale sur mon serveur. > >>> > >>> > >>> _______________________________________________ > >>> Dev mailing list - [email protected] - > >>> http://ml.dotclear.org/listinfo/dev > >>> > >> > >> Le 10/04/2013 07:39, Dsls a écrit :> > Mais on a fixé ces trucs, non ? > >> > >> > > >> > Le monsieur (mais pas que lui) ne regarde pas plus loin que le bout de > >> > son nez et se contente d'inventer de potentielles vulnérabilités. Sauf > >> > que toute install dotclear a son répertoire inc/ joliment protégé par > un > >> > .htaccess qui contient un magnifique deny from all > >> > > >> > > >> > > >> > _______________________________________________ > >> > Dev mailing list - [email protected] - > >> > http://ml.dotclear.org/listinfo/dev > >> > > >> _______________________________________________ > >> Dev mailing list - [email protected] - > >> http://ml.dotclear.org/listinfo/dev > > > > > > > > _______________________________________________ > > Dev mailing list - [email protected] - > > http://ml.dotclear.org/listinfo/dev > > > > -- > Philippe > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev >
_______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
