Magazine

Dotclear, Multiblogs et Sécurité

Publié le 20 avril 2008 par Methylbro
Comme vous le savez ; notre plateforme de blogs utilise l’excellent moteur libre Dotclear. Multiutilisateurs ; multi blogs ; offrant la possibilité d’ouvrir au public les inscriptions avec un simple plugin. C’était pour nous le choix idéal.

En plus c’est Français. Et je soutiens toujours les produits issus le de l’hexagone. C’est comme ca ; je suis chauvin.

Bon ; voilà le problème qui m’est apparu (comme une révélation) cette semaine. En utilisant une telle architecture ; il était possible à n’importe qui de charger ; puis d’exécuter des fichiers PHP sur le serveur. C’est ennuyeux comme vous pouvez l’imaginer.

Je suis sur qu’a première vu ; vous vous dites « mais pourquoi l’équipe de Dotclear n’a pas interdit de charger des fichiers .php et etc ». Oui mais moi je veux pouvoir charger ce type de fichiers sur mon blog ! Je veux pouvoir proposer des fichiers .php à mes visiteurs. En lecture, sans qu’ils ne soient interprétés par le moteur PHP.

La solution c’est donc vite imposé. Il suffisait de dire à apache de compétemment désactiver le moteur php sur les répertoires publics des divers blogs utilisateurs.

Pour aller plus vite ; et pour être plus radical ; nous avons donc décidé de modifier notre httpd.conf (mais on pourrais utiliser des fichiers .htaccess pour désactiver php blog après blog) :

<Directory %blogspath%/*/public>
  php_value engine off
  AddType text/plain .php .phtml .php3 .php5 .phps .txt
</Directory>


Vous pourriez être intéressé par :

Retour à La Une de Logo Paperblog

Ces articles peuvent vous intéresser :

A propos de l’auteur


Methylbro 17 partages Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte