Protéger l'accès à vos dossier .svn
TechCrunch à récemment repris un article Russe indiquant que de nombreux sites (plus de 3300) laissaient en libre accès leur dossier .svn.
L'article a ensuite été repris par Chris Sullo via le HP Security Laboratory Blog, afin de vous proposer quelques techniques afin de vérifier que votre site affiche ou pas le contenu de ces fameux dossiers et comment faire dans ce cas.
Il est important de savoir que l'accès aux dossier .svn est un risque non négligeable puisque ces dossiers peuvent contenir le code source de vos fichier, et donc parfois les mots de passes d'accès aux divers services (base de donnée, réseaux sociaux via API, etc).
Vous qui utilisez Subversion, êtes-vous sûr que vos .svn ne sont pas accessibles ? vraiment ?
Afin de sécuriser votre serveur, voici deux petits morceaux d'Apache évitant vos visiteurs d'accéder à ces dossiers.
Le premier se place dans le fichier de configuration de votre VirtualHost, et interdit simplement l'accès aux répertoires .svn :
<Directory ~ “^\.svn”>
Deny from all
</Directory>(facile ;))
Le second viens se mettre dans un fichier .htaccess, dans le cas ou vous n'auriez pas accès à la configuration d'Apache (cas typique d'un hébergement standard) :
RewriteEngine on # Hide .SVN Folders RewriteRule ^(.*/)*\.svn/ / [F,L]
Merci @Fettes Programming Solutions pour les bouts de code très utiles ;)
Une autre alternative, si vous n'utilisez plus SVN en production, et que vous n'avez fait que copier les fichier, c'est de supprimer récursivement les dossiers .svn de votre site/application. Pour ce faire, nous avions listé les commandes (linux) possible lors d'un précédent article.
