Zend FR

Consultez la FAQ sur le ZF avant de poster une question

Vous n'êtes pas identifié.

#1 23-11-2014 23:45:33

Aramir
Nouveau membre
Date d'inscription: 23-11-2014
Messages: 3

allowoverride All ou none ?!? Et la sécurité alors ?

Bonjour,
Tout d'abord je vous explique ma situation.
Je suis relativement nouveau sur zend framework2. J'ai déjà fait une application avec il y a deux,trois ans maintenant. Je reviens dessus maintenant en espérant que la documentation soit plus fournie qu'elle ne l'était la dernière fois que j'y ai touché (je me rappelle encore d'avoir vu des gros blocs TODO TODO un peu partout....).

J'ai donc importé le squelette de base sur mon server debian7+apache2.22
Et je suis surprise de voir qu'ils demandent de passer allowoverride à all dans les fichiers de configurations apache ?!?
Du coup je viens poser ces questions à un public plus expérimenté que moi:
Pourquoi passer allowoverride à all ?!? C'est complètement dangereux, est ce que zend framework se débrouille pour resécuriser les .htaccess derrière ? Si oui comment ? N'y a-t-il pas moyen de faire sans ?


Et j'en profite pour signaler que pour l'instant zendframework refuse de fonctionner sur mon server lorsque je passe allowoverride sur all. Lorsque je le laisse sur none, la page d'acceuil s'affiche correctement, mais la redirection de liens ne marche alors bien sur pas complétement (ex:impossible d'afficher une page 404 signée zend framework).


Quoi qu'il en soit je vous remercie déjà d'avoir lu mon message jusque là. Toute remarque, réflexion et bonne à prendre.
Merci et bonne journée à vous.

Hors ligne

 

#2 24-11-2014 10:30:57

Orkin
Administrateur
Lieu: Paris
Date d'inscription: 09-12-2011
Messages: 1261

Re: allowoverride All ou none ?!? Et la sécurité alors ?

Salut, il y a 2 - 3 ans tu devais être en alpha ou beta smile.

Cette directive permet l'utilisation de fichier .htaccess donc je vois pas où il peut y avoir un problème de sécurité. Si ton serveur est bien configuré avec les bon droits etc ... Après effectivement si quelqu'un arrive à s'introduire sur ton serveur pour modifier le .htaccess il y a des risques mais si l'utilisateur qui a les droits sur ce fichier ne peut pas se connecter depuis ssh et nécessaire de se connecter avec un autre utilisateur (que root), qui peut ensuite passer root pour ensuite utiliser ce premier utilisateur les risques sont faible (je sais pas trop si je me suis bien fait comprendre ^^). Dans ce cas à partir du moment où quelqu'un peut modifier le fichier .htaccess c'est qu'il a les accès root et il peut alors modifier directement la configuration apache donc ...

As-tu activer le mod_rewrite de php ?

Hors ligne

 

#3 24-11-2014 14:48:50

Aramir
Nouveau membre
Date d'inscription: 23-11-2014
Messages: 3

Re: allowoverride All ou none ?!? Et la sécurité alors ?

J'ai compris (même si je pense qu'il manque quelques mots dans ta phrase ^^"). C'est vrai que en général si quelqu'un peut modifier le htaccess c'est qu'il a accès au serveur. J'avais lu quelque chose concernant un hack qui consistait à envoyer à un serveur apache un .htaccess externe qui allait alors être interprété. Mais après avoir relu attentivement je me rends compte que par "envoyer au serveur" le rédacteur de l'article voulait dire "uploader sur le serveur" ..... Donc oui, il fallait déjà avoir les droits d'écriture sur ce serveur....
Mea culpa

Et après avoir lu quelques dizaines de page stackoverflow, j'ai vu que sur debian il fallait effectivement activer en plus le module mod_rewrite par la commande "a2enmod rewrite" (ou faire les liens symboliques manuellement).
Merci.

Hors ligne

 

#4 24-11-2014 15:18:02

Orkin
Administrateur
Lieu: Paris
Date d'inscription: 09-12-2011
Messages: 1261

Re: allowoverride All ou none ?!? Et la sécurité alors ?

Bah le mod_rewrite c'est pas que sur debian c'est partout hein wink. Sans ça le framework ne fonctionne tout simplement pas c'est un pré-requis.

Hors ligne

 

#5 24-11-2014 15:20:05

Aramir
Nouveau membre
Date d'inscription: 23-11-2014
Messages: 3

Re: allowoverride All ou none ?!? Et la sécurité alors ?

Dans mes souvenirs il suffisait de l'activer dans le htaccess ^^"

Hors ligne

 

Pied de page des forums

Propulsé par PunBB
© Copyright 2002–2005 Rickard Andersson
Traduction par punbb.fr

Graphisme réalisé par l'agence Rodolphe Eveilleau
Développement par Kitpages