Régis Houssin wrote:
Si le serveur apache ou autre n'est pas configuré pour ne pas autoriser le
listage des fichiers lorsqu'il n'y a pas de fichier Index nous pouvons voir
les fichiers des répertoires qui n'ont pas de fichier Index même sans
être logué et du coup il est possible de lancer un fichier et de voir les
erreurs et les chemins réel des fichiers sur le serveur !!!!
je l'ai laissé volontairement : http://demo.dolibarr.fr/includes/modules/
exemple sans être logué :
http://demo.dolibarr.fr/includes/modules/modAdherent.class.php
donne :
---------------------------------------------------------
Warning:
include_once(DOL_DOCUMENT_ROOT/includes/modules/DolibarrModules.class.php)
[function.include-once]: failed to open stream: No such file or directory
in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 36
Warning: include_once() [function.include]: Failed opening
'DOL_DOCUMENT_ROOT/includes/modules/DolibarrModules.class.php' for
inclusion (include_path='.:/usr/share/php:/usr/share/pear') in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 36
Fatal error: Class 'DolibarrModules' not found in
/home/httpd/vhosts/dolibarr.fr/demo/dolibarr/htdocs/includes/modules/modAdherent.class.php
on line 43
----------------------------------------------------------
on devrait inclure un fichier index.html vide dans chaque répertoire qui
ne contient pas d'index non ?
Non, ceci ne résoudrait rien et n'empeche que de voir que pour le
débutant mais n'a absolument aucun interet pour celui qui connait meme
juste un peu.
La solution et d'avoir l'option NoIndex actif dans ton fichier apache.
ceci est dailleurs l'option par defaut de toute install apache sauf pour
les rep qui sont dans /home.
Ce qui est ton cas. Tu dois mettre l'option
Options -Indexes
Pour ce cas, il vaut mieux mettre un warning dans dolibarr pour signaler
que la config apache n'est pas bonne car seul une config apache est
efficace contre cela.
De meme pour le pb des chemins qui s'affichent suite a un message
d'erreur, c'est la config php qui est incorrecte. Il faut mettre
display_errors = Off
display_errors = On est une faille de securité. La aussi un warning qui
s'affiche si on est loggue avec un compte admin serait utile (comme on
fait pour la presence du rep install s'il n'a pas ete supprimé).
Régis
_______________________________________________
Dolibarr-dev mailing list
[email protected]
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
_______________________________________________
Dolibarr-dev mailing list
[email protected]
http://lists.nongnu.org/mailman/listinfo/dolibarr-dev
