Suggestion . Protection accès fichier de configuration / Dossier data/*.xml

Bonjour,

Peut-être serait-il judicieux de prévoir la création de fichier .htaccess à l'installation de pluxml pour protéger l’accès aux fichiers de configurations xml . Sur github, on ne peut apparemment pas y déposer de fichier .htaccess ce qui ne laisse pas d'autre choix que de les créer à l'installation , ou si manquant .

cdt


Cordialement,
gcyrillus

Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci

Réponses

  • bazooka07bazooka07 PluXml Lead Developer, Moderator

    Bonjour,
    Les fichiers *.xml sont dans les dossiers data/articles, data/commentaires et data/configuration. Ces dossiers sont protégés par un fichier .htaccess qui empêchent la lecture de tous les fichiers avec un navigateur.
    Il en est de même pour le dossier data/statiques qui ne contient que des fichiers *.php.
    Cela ne marche que si on a un serveur Apache.
    Dans le cas d'un serveur NGinx, il faut régler le fichier de configuration du serveur (voir wiki). Ce qui est déjà plus puisque le fichier de configuration de ce serveur ne peut être accessible depuis Internet.
    Une solution encore plus sûre est de sortir tous ces dossiers du "DocumentRoot". Le dossier data ne devrait contenir que le dossier "medias". J'avais testé cette solution il y a quelques années et cela fonctionnait.

  • Merci de cette précision à propos des serveur NGinx que je ne connaissais pas. @bazooka07

    en effet un dossier en dehors de l’hébergement racine serait plus approprié, je serais pour aussi , mais cela ne risque t-il pas de réduire à un seul PluXml installable par hébergement/serveur. J'ai par exemple sur mon serveur local plusieurs version et plusieurs install de pluXml cote à cote (+ fichier hosts pour simuler des ndd différents).

    Reste que j'avais déjà remarqué quelque chose de semblable à l'époque de la V4 et que j'avais dans un coin la consigne de bien vérifier que les fichiers caché étaient affichés et aussi copiés lors d'un backup manuel (sous windows) . Je faisais classiquement un copier/coller d'une archive toute fraiche vers un sous dossier de mon www de l'époque , chose que j'ai refaite aussitôt en découvrant la 5.8.6 et en laissant les htaccess bien cachés la ou il étaient :)

    Une mise en garde serait peut-être suffisante en fin de compte.
    Cdt


    Cordialement,
    gcyrillus

    Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
    Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci

  • bazooka07bazooka07 PluXml Lead Developer, Moderator

    Chaque installation de PluXml a un fichier config.php à la racine du site qui définit le chemin d'accès aux fichiers de configuration de PluXml. Par défaut : "data/configuration".
    Il suffit de modifier cette valeur dans le fichier.
    Ce qui serait cool serait de pouvoir modifier les chemins des différents dossiers à l'installation sans être obligé de se connecter. Il suffirait de modifier le formulaire de l'installation pour saisir ces valeurs.

  • Ce qui serait cool serait de pouvoir modifier les chemins des différents dossiers à l'installation sans être obligé de se connecter. Il suffirait de modifier le formulaire de l'installation pour saisir ces valeurs.

    tout à fait d'accord , et le premier que je modifierai est celui de l'admin avec l'option de ne pas afficher le lien dans le theme ;)


    Cordialement,
    gcyrillus

    Mon site PluXml: https://re7net.com | Plugins: https://ressources.pluxopolis.net/banque-plugins/index.php?all_versions | demos sur free http://gcyrillus.free.fr/new | Thèmes: tester et télécharger @ https://pluxthemes.com
    Indiquez [RESOLU] dans le titre de votre question une fois le soucis réglè, Merci

Connectez-vous ou Inscrivez-vous pour répondre.