spip
/
spip
29
15
Fork 19
Code Issues 405 Pull Requests 8 Projects Releases Wiki Activity
Labels Milestones
New Issue

Améliorer la règle htaccess qui bloque l'accès aux fichiers cachés #5109

Closed
opened 3 months ago by b_b · 1 comments
b_b commented 3 months ago
Owner

On a déjà la règle suivante ici https://git.spip.net/spip/spip/src/branch/master/htaccess.txt#L96

# bloquer les acces aux fichiers caches (.svn, .git, etc)
RewriteRule /\\..*(/.*|$) - [F]

Mais, il semble qu'elle ne fonctionne pas dans tous les cas.

@marcimat disait sur team :

  • il est plus opportun de retourner une 404 plutôt qu'un forbidden afin d'éviter d’indiquer qu’un Git est présent cf https://stackoverflow.com/a/17916515
  • on ne sait pas si cette règle concerne juste les fichiers racines ou pas. Il y a ce / en premier tout de même, ce qui supposerait que ça bloque /.git/* mais pas /plugins/truc/.git/* ?

On a testé la règle suivante sur spip.net et ça fonctionne bien (du moins pour les .git)

RedirectMatch 404 /\.git

Quelques pistes à ce sujet :

https://www.petefreitag.com/item/823.cfm qui propose RedirectMatch 404 (?i)/\..+ pour bloquer l'accès à tous les dossiers cachés.

https://gist.github.com/donwilson/7bd7f978cce801d332da8499e3289dce qui mentionne aussi les fichiers de composer

https://typo3worx.eu/2015/11/unprotected-git-or-svn-directories-put-your-website-at-risk-of-information-disclosure/

On a déjà la règle suivante ici https://git.spip.net/spip/spip/src/branch/master/htaccess.txt#L96 ``` # bloquer les acces aux fichiers caches (.svn, .git, etc) RewriteRule /\\..*(/.*|$) - [F] ``` Mais, il semble qu'elle ne fonctionne pas dans tous les cas. @marcimat disait sur team : - il est plus opportun de retourner une 404 plutôt qu'un forbidden afin d'éviter d’indiquer qu’un Git est présent cf https://stackoverflow.com/a/17916515 - on ne sait pas si cette règle concerne juste les fichiers racines ou pas. Il y a ce / en premier tout de même, ce qui supposerait que ça bloque `/.git/*` mais pas `/plugins/truc/.git/*` ? On a testé la règle suivante sur spip.net et ça fonctionne bien (du moins pour les .git) ``` RedirectMatch 404 /\.git ``` Quelques pistes à ce sujet : https://www.petefreitag.com/item/823.cfm qui propose `RedirectMatch 404 (?i)/\..+` pour bloquer l'accès à tous les dossiers cachés. https://gist.github.com/donwilson/7bd7f978cce801d332da8499e3289dce qui mentionne aussi les fichiers de composer https://typo3worx.eu/2015/11/unprotected-git-or-svn-directories-put-your-website-at-risk-of-information-disclosure/
b_b added the
amélioration
 label 3 months ago
b_b added this to the 4.1 milestone 3 months ago
marcimat commented 3 months ago
Owner

Sauf erreur, c’est intégré en 4.1.1. On ferme.

Sauf erreur, c’est intégré en 4.1.1. On ferme.
marcimat closed this issue 3 months ago
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
1.8
1.9.1
1.9.2
2.0
2.1
3.0
3.1
3.2
4.0
4.1
boutons-danger
dev-sortable
dev/autoloader
dev/instituer_ergo
dev_infos_image
fix/valider_url_distante
fix_modifier_login
issue_4101
issue_4277_bis
issue_4678
issue_4705
issue_4717
issue_4946
issue_5032_ini_set
issue_5056_composer_road
issue_5215
issue_5242
issue_deprecated_null_sql_quote
master
Labels
Apply labels
Clear labels
accessibilité amélioration
Amélioration, nouvelle fonctionnalité APIs authentification base de données bug
Ca ne fonctionne pas code généré compilo css divers documentation doublon
Ce ticket est un doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide
Ticket invalide javascript langues LDAP plugin PostgreSQL refusé
Ignoré, c'est comme Ca... sécurité traduction
No Label accessibilité amélioration APIs authentification base de données bug code généré compilo css divers documentation doublon ergonomie espace privé filtres et balises formulaires Inscription installation invalide javascript langues LDAP plugin PostgreSQL refusé sécurité traduction
Milestone
Set milestone
Clear milestone
No items
No Milestone
4.1
Projects
Clear projects
No project
Assignees
Assign users
Clear assignees
No Assignees
2 Participants
Notifications
Due Date

No due date set.

Dependencies

This issue currently doesn't have any dependencies.

Write Preview
Loading…
Cancel
Save
There is no content yet.
Delete Branch '%!s(MISSING)'

Deleting a branch is permanent. It CANNOT be undone. Continue?

No
Yes