Améliorer la règle htaccess qui bloque l'accès aux fichiers cachés #5109

Closed
opened 3 months ago by b_b · 1 comments
b_b commented 3 months ago
Owner

On a déjà la règle suivante ici https://git.spip.net/spip/spip/src/branch/master/htaccess.txt#L96

# bloquer les acces aux fichiers caches (.svn, .git, etc)
RewriteRule /\\..*(/.*|$) - [F]

Mais, il semble qu'elle ne fonctionne pas dans tous les cas.

@marcimat disait sur team :

  • il est plus opportun de retourner une 404 plutôt qu'un forbidden afin d'éviter d’indiquer qu’un Git est présent cf https://stackoverflow.com/a/17916515
  • on ne sait pas si cette règle concerne juste les fichiers racines ou pas. Il y a ce / en premier tout de même, ce qui supposerait que ça bloque /.git/* mais pas /plugins/truc/.git/* ?

On a testé la règle suivante sur spip.net et ça fonctionne bien (du moins pour les .git)

RedirectMatch 404 /\.git

Quelques pistes à ce sujet :

https://www.petefreitag.com/item/823.cfm qui propose RedirectMatch 404 (?i)/\..+ pour bloquer l'accès à tous les dossiers cachés.

https://gist.github.com/donwilson/7bd7f978cce801d332da8499e3289dce qui mentionne aussi les fichiers de composer

https://typo3worx.eu/2015/11/unprotected-git-or-svn-directories-put-your-website-at-risk-of-information-disclosure/

On a déjà la règle suivante ici https://git.spip.net/spip/spip/src/branch/master/htaccess.txt#L96 ``` # bloquer les acces aux fichiers caches (.svn, .git, etc) RewriteRule /\\..*(/.*|$) - [F] ``` Mais, il semble qu'elle ne fonctionne pas dans tous les cas. @marcimat disait sur team : - il est plus opportun de retourner une 404 plutôt qu'un forbidden afin d'éviter d’indiquer qu’un Git est présent cf https://stackoverflow.com/a/17916515 - on ne sait pas si cette règle concerne juste les fichiers racines ou pas. Il y a ce / en premier tout de même, ce qui supposerait que ça bloque `/.git/*` mais pas `/plugins/truc/.git/*` ? On a testé la règle suivante sur spip.net et ça fonctionne bien (du moins pour les .git) ``` RedirectMatch 404 /\.git ``` Quelques pistes à ce sujet : https://www.petefreitag.com/item/823.cfm qui propose `RedirectMatch 404 (?i)/\..+` pour bloquer l'accès à tous les dossiers cachés. https://gist.github.com/donwilson/7bd7f978cce801d332da8499e3289dce qui mentionne aussi les fichiers de composer https://typo3worx.eu/2015/11/unprotected-git-or-svn-directories-put-your-website-at-risk-of-information-disclosure/
b_b added the
amélioration
label 3 months ago
b_b added this to the 4.1 milestone 3 months ago
Owner

Sauf erreur, c’est intégré en 4.1.1. On ferme.

Sauf erreur, c’est intégré en 4.1.1. On ferme.
marcimat closed this issue 3 months ago
Sign in to join this conversation.
No Milestone
No project
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Loading…
There is no content yet.