Risques à laisser le session.save_path en lecture à tout le monde [Résolu]

[Christophe Charron]

Bonsoir,
tout est quasiment dit dans le titre ...
Voulant installer un cms, cms made simple pour ne pas le nommer, j'ai un petit avertissement m'indiquant

Citation:

Checking if session.save_path is writable

Your session.save_path is "". Not having this as writable may make logins to the Admin Panel not work. You may want to look into making this path writable if you have trouble logging into the Admin Panel. This test may fail if safe_mode is enabled (see below).

En effet, mon session.save_path n'est pas renseigné.
Et comme ici http://php.net/ref.session#ini.session.save-path je lis

Citation:

...
Attention

Si vous laissez cette option configurée avec un dossier accessible en lecture à tout le monde, comme /tmp (par défaut), les autres utilisateurs pourront exploiter ces sessions en obtenant la liste de fichiers dans ce dossier
...

, je me pose des questions avant de modifier la variable dans le php.ini
Quels sont les risques à laisser le session.save_path en lecture à tout le monde et quels sont les moyens de ne me laisser qu'à moi cette possibilité ?

[mathieu]

Le message d'erreur du CMS indique juste que le répertoire des sessions n'est pas défini.
Tu as juste besoin d'un répertoire accessible en écriture à Apache et pas à tout le monde

[Christophe Charron]

La question va paraître très très bête, mais tant pis, en ces temps de Pâques, je compte sur ta charité chrétienne ...
J'ai, pour tester le CMS, changé mon paramètre et décommenté la ligne qui était en l'occurrence "/tmp" et tout fonctionne.
Mais je suis allé jeter un coup d'oeil dans le répertoire /tmp qui contient moult fichiers de session qui n'ont rien à voir avec le CMS. Donc, comme indiqué dans la doc, si rien n'est spécifié, il vient quand même stocker les sessions à cet endroit.
Ce que je ne sais pas faire, c'est ne donner les droits à un répertoire qu'à Apache que je ne sais pas identifier !!! Ensuite, alors, je créerai un répertoire spécifique car j'imagine que tout le monde à besoin d'utiliser /tmp
Questions subsidiaires, comment se fait-il qu'il y a plein de sessions avec une taille 0 dans le /tmp ou d'autres avec des tailles "normales" mais qui datent de plus d'un mois. N'y a-t'il qu'un script sh à mettre dans le cron pour virer les fichiers vieux de plus de n jours?

[mathieu]

Citation:

Envoyé par Christophe Charron

La question va paraître très très bête, mais tant pis, en ces temps de Pâques, je compte sur ta charité chrétienne ...

si je n'arrive pas à t'aider, je demanderai aux cloches de t'aider

Citation:

Envoyé par Christophe Charron

J'ai, pour tester le CMS, changé mon paramètre et décommenté la ligne qui était en l'occurrence "/tmp" et tout fonctionne.
Mais je suis allé jeter un coup d'oeil dans le répertoire /tmp qui contient moult fichiers de session qui n'ont rien à voir avec le CMS. Donc, comme indiqué dans la doc, si rien n'est spécifié, il vient quand même stocker les sessions à cet endroit.
Ce que je ne sais pas faire, c'est ne donner les droits à un répertoire qu'à Apache que je ne sais pas identifier !!! Ensuite, alors, je créerai un répertoire spécifique car j'imagine que tout le monde à besoin d'utiliser /tmp

ça dépend comment est installé PHP. Par exemple chez moi PHP est installé en tant que Module Apache sous Debian et donc là par exemple Apache utilise l'utilisateur "www-data"

Citation:

Envoyé par Christophe Charron

Questions subsidiaires, comment se fait-il qu'il y a plein de sessions avec une taille 0 dans le /tmp ou d'autres avec des tailles "normales" mais qui datent de plus d'un mois. N'y a-t'il qu'un script sh à mettre dans le cron pour virer les fichiers vieux de plus de n jours?

le nettoyage est géré par PHP, regarde la documentation des directives de configuration qui commencent par "session.gc_" (GC comme Garbage Collector)

[Sub0]

Ajouter dans le dossier un fichier .htaccess ou index.php contenant par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php die('Accès refusé!'); ?>

devrait résoudre le problème selon moi.

[Christophe Charron]

Citation:

Envoyé par Sub0

Ajouter dans le dossier un fichier .htaccess ou index.php contenant par exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php die('Accès refusé!'); ?>

devrait résoudre le problème selon moi.

Oui, bien sûr, c'est une évidence, pour moi. Mais est-ce de ce risque dont on parle ? Moi je comprenais, que malgré les règles de base apache, on pouvait venir se balader dans les répertoires ... je paranoaïse un peu trop ?

[mathieu]

Citation:

Envoyé par Christophe Charron

Moi je comprenais, que malgré les règles de base apache, on pouvait venir se balader dans les répertoires ...

oui c'est ça mais il s'agit des utilisateurs du serveur et pas des visiteurs qui passent par Apache

[Christophe Charron]

Citation:

Envoyé par mathieu

oui c'est ça mais il s'agit des utilisateurs du serveur et pas des visiteurs qui passent par Apache

Ha oui ... Mais là si je me fais hacker mon serveur ou que je donne des droits indûs aux utilisateurs, en effet je risque gros. Mais le vulgum pecus n'est qu'un visiteur passant par Apache donc je ne dois rien craindre de ce côté si je vous ai bien compris.
Merci à tous.