Discussion :

[souviron34]

Bonjour

Comme plusieurs ici le savent, je viens de terminer mon site, et j'avais des problèmes d'affichage du tirre de la fenêtre, jusqu'à ce que jreaux62 me pointe sur le code de la redirection par frames faite par mon fournisseur de nom de domaine.

Ayant résolu ce problème en ayant changé de domaine et de fournisseur, je me demandais autre chose en ayant vu ce code... :

Dans un site Web, n'importe qui peut aller chercher "vor le code source". Je ne sais pas - et me pose la question - de savoir si c'est très sécuritaire.

Un moyen simple pour y parer - en m'inspirant du fichier mis par mon ancien fournisseur - serait de mettre mes fichiers dans une arboresence privée, et de faire une petite redirection directe ou par frames entre le index.php de la racine et celui de cette arborescence.

Qu'en pensez-vous ?

• Est-ce un inconvenient d'avoir tout son code accessible via "voir page source" ?
• Est-ce dangereux ?
• Une redirection directe est-elle suivie par les moteurs de recherche et leurs webcrawlers ?
• Une redirection par frames est-elle suivie par les moteurs de recherche et leurs webcrawlers ?
• Y a-t-il une autre manière de faire, simple et/ou recommandée ?

Merci d'avance...





PS: ayant fabriqué le site à la main, je n'ai pas utilisé WordPress et autres outils ou gabarits...

[Vil'Coyote]

peut importe la manière utilisée, le code sera toujours visible .... le but de l'html c'est d'être interprété par ton navigateur donc si tu ne veux pas le voir , le navigateur ne le verra pas non plus. Si tu fait du php, le htaccess te permettra d'éviter les mauvaise surprise. Pour ce qui est de tes questions :

Est-ce un inconvenient d'avoir tout son code accessible via "voir page source" ?

non, sinon passe à des application lourde ou exotiques si cela te soulage. Après si tu utilise des framework qui dispose de faille, il faudra rectifié au plus vite lors des montés de version etc ....

Est-ce dangereux ?

définie dangereux?? du moment qu'une informations est disponible, le danger existe tout le temps.

Une redirection directe est-elle suivie par les moteurs de recherche et leurs webcrawlers ?
Une redirection par frames est-elle suivie par les moteurs de recherche et leurs webcrawlers ?

frame est redirection sont à oublier.

Y a-t-il une autre manière de faire, simple et/ou recommandée ?

ne rien faire est la meilleure des solutions.

[Christophe P.]

Bonjour,

je suis tout à fait d'accord avec Vil'Coyote.

Le code source affiché dans le navigateur est le HTML généré par PHP ou Java, pas le code source de l'application (avec le code PHP, Java, sauf s'il n'y a que du HTML bien sûr). Sauf grave erreur, les mots de passes et autres ne sont pas récupérables directement sur les pages HTML.

Il existe un moyen de ne pas voir le code source : mettre des images. Mais alors vous aurez peut-être peur qu'on vous vole vos images... (sans compter que l'utilité et le côté pratique de la chose laissent à désirer)

[souviron34]

OK merci Le problème de la redirection est réglé.. J'ai suivi vos conseils et évité la redirection par frame..


Mais je me pose encore 4 3 2 questions :

• J'ai essayé de mettre mes fonctions javascript dans un fichier, et de les inclure dans le header, mais ça marche pas.. J'ai quelques variables globales, mais c'est plutôt je pense la syntaxe de déclaration DANS le fichier javascript qui pose problème... J'ai essayé en encadrant le fichier en première / dernière instruction de rien du tout, de <script></script>, etc.. ça change rien... résolu ..
  
  
• D'autre part, par exemple pour l'init des googles maps, il y a une clé. Bien que elle soit stockée en codé sur le serveur, elle est visible dans la page en "tel quel" ... (je rempli la requête avec une fonction php qui va décoder). Y-a-til un moyen qu'on ne la voit pas ?
  
  
• Enfin, j'ai pas mal de texte. Je me demandais si c'était possible au fur et à mesure d'inclure des fichiers de contenu pour remplir des paragraphes ou des div ? (je fouille aussi de mon côté pendant ce temps) résolu ..

Merci


PS : y-a-t-il moyen de restreindre l'accès aux fichiers pointés par ces inclusions (style les css ou les javascript) ? du style que si quelqu'un clique sur voir le code source, et qu'il voit le lien et clique dessus, ça lui dit "vous pouvez pas" ?

PPS: pour les référencements via les bot et autres crawlers, est-ce que inclure des fichiers contenant des parties du texte est "mauvais" par rapport à avoir tout le texte dans le fichier ?

[ABCIWEB]

Même combat pour javascript et les css que pour le html et pour les mêmes raisons décrites par Vil'Coyote plus haut : puisque le navigateur doit pouvoir lire ces données, tu pourras forcément les voir.

Cela dit, si tu minifies tes fichiers javascript cela les rend très difficilement compréhensible.

Après tu peux aussi protéger ton dossier en écriture avec un chmod 501 par exemple, et tes fichiers avec un 404, au moins personne n'ira les remplacer. Cela dit c'est en mode parano car avec de tels réglages il te faudra changer les droits avant de mettre tes fichiers à jour depuis ftp. Sinon 701 pour les dossiers et 604 pour les fichiers. Les dossiers et fichiers php peuvent se paramétrer de façon encore plus restrictive suivant les cas. Bref la configuration des droits d'accès est déjà une bonne mesure, assez simple à mettre en place mais que beaucoup négligent.
(les chmod sont donnés à titre indicatif mais peuvent changer suivant les serveurs)

[souviron34]

OK merci ça clarifie pour moi..

Il me reste juste un point (communication JS/PHP) :

Pourquoi si dans mon fichier index.php j'écris dans la section javascript :

Code javascript :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
function myfuncc () {
var myvar = '<?php echo $myvar ; ?>' ;
..

où $myvar est bien une variable PHP, éventuellement de session mais j'ai essayé les 2, j'ai bien la bonne valeur, alors que si je met la fonction dans un fichier séparé inclus ça me sort "<?php echo $myvar ; ?>" ?????

Comment je pourrais récupérer les valeurs alors ?

[ABCIWEB]

Parce que dans le premier cas la variable est interprétée par php et pas dans l'autre cas.

Tu peux faire afficher cette variable dans ton html avec un input de type hidden par exemple et ensuite tu récupère la valeur de cet input en javascript.

[souviron34]

OK un gros merci à toi....