Reflectiv's blog

Come here to get some fresh air!
About Me

This is the Reflectiv.net blog.
We share our news, thoughts and everything we think could interest you :)

My Other Sites
Twitter
Contributors
Tags
Archive
2012 (2)
2011 (6)
2010 (20)
2009 (30)
2008 (46)
2007 (9)
Filed under

htaccess

See all posts on posterous with this tag »
 

Protéger l'accès à vos dossier .svn

TechCrunch à récemment repris un article Russe indiquant que de nombreux sites (plus de 3300) laissaient en libre accès leur dossier .svn.

L'article a ensuite été repris par Chris Sullo via le HP Security Laboratory Blog, afin de vous proposer quelques techniques afin de vérifier que votre site affiche ou pas le contenu de ces fameux dossiers et comment faire dans ce cas.

Il est important de savoir que l'accès aux dossier .svn est un risque non négligeable puisque ces dossiers peuvent contenir le code source de vos fichier, et donc parfois les mots de passes d'accès aux divers services (base de donnée, réseaux sociaux via API, etc).

Vous qui utilisez Subversion, êtes-vous sûr que vos .svn ne sont pas accessibles ? vraiment ?

Afin de sécuriser votre serveur, voici deux petits morceaux d'Apache évitant vos visiteurs d'accéder à ces dossiers.

Le premier se place dans le fichier de configuration de votre VirtualHost, et interdit simplement l'accès aux répertoires .svn :

<Directory ~ “^\.svn”>
     Deny from all
</Directory>

(facile ;))

Le second viens se mettre dans un fichier .htaccess, dans le cas ou vous n'auriez pas accès à la configuration d'Apache (cas typique d'un hébergement standard) :

RewriteEngine on
# Hide .SVN Folders
RewriteRule ^(.*/)*\.svn/ / [F,L]

Merci @Fettes Programming Solutions pour les bouts de code très utiles ;)

Une autre alternative, si vous n'utilisez plus SVN en production, et que vous n'avez fait que copier les fichier, c'est de supprimer récursivement les dossiers .svn de votre site/application. Pour ce faire, nous avions listé les commandes (linux) possible lors d'un précédent article.

Filed under  //  General   Security   access   folder   htaccess   protect   svn  
Posted by Cyril Nicodème 
 

Se protéger du Hot Linking

Le problème de publier des images intéressantes, c'est que vous risquez d'avoir d'autres personnes qui les affichent sur leur site, mais en laissant l'image sur votre serveur.

Le problème est qu'ayant l'image hébergée sur votre machine, c'est votre débit qui sera utilisé. Si l'autre site possède un important trafic, il peux tuer votre disponibilité ou en tout cas la ralentir.

Afin d'éviter que les images ne soient affichées depuis un autre site, voici un petit bout de code à mettre dans un fichier .htacess :

RewriteEngine On
#Replace ?yoursite.com/ with your blog url
RewriteCond %{HTTP_REFERER} !^http://(.+.)?yoursite.com/ [NC]
RewriteCond %{HTTP_REFERER} !^$
#Replace /images/stealing-is-bad.jpg with your "don't hotlink" image url
RewriteRule .*.(jpe?g|gif|bmp|png)$ /images/stealing-is-bad.jpg [L]

Remplacez bien les valeurs indiquées par celle correspondant à votre configuration, et vous serez tranquilles :)

Source: http://www.pcland.info/archives/156/more-htaccess-tricks-for-you-wordpress-blog.html

Filed under  //  Apache   Security   hot-linking   htaccess   image   steal  
Posted by Cyril Nicodème