Discussion :

[benassis]

Bonjour,

Sur un serveur mutualié linux, j'héberge plusieurs sites en ligne.
À la racine du serveur, j'ai donc un site lié dans un répertoire principal, les autres sites, des sous-répertoires du premier, ce qui donne une arborescence comme ceci:
racine...public_html/monsiteprincipal/sitesecondaire1
racine...public_html/monsiteprincipal/sitesecondaire2
...

Ma préoccupation est liée à la sécurité; comme propriétaire, je connais le nom du répertoire de chaque site, si bien que je peux avoir accès à un site en invoquant son nom de répertoire, comme ceci:
http://monsiteprincipal/répertoiresecondaire1/.
En théorie, tout internaute pourrait donc avoir accès au même site s'il connaissait ou parvenait à connaître le nom du répertoire.

Cette situation constitue-t-elle un danger potentiel sur le plan de la sécurité ?
Si oui, comment éviter ce danger ?

[chrtophe]

Que contient tes sites ? des sites web standard ?

Je suis pas spécialiste mais déjà si tu as 1 faille XSS sur 1 des sites, l'accès sera possible au dessus. Pour limiter les risques, il te faut gérer des VPS.

http://fr.wikipedia.org/wiki/Serveur...%C3%A9_virtuel

[benassis]

Bonjour,

Le serveur héberge 13 sites web standards.
Je crainds que les serveurs virtuels soiient refusés par l'hébergeur iweb.
Mais y a-t-il une façon de connaître l'arborescence d'un serveur "côté client" ? Si oui, cela facilite-t-il la tâche d'un hackeur de la connaître ?

[chrtophe]

Si tu n'as pas de fichier .htaccess tous les dossiers sont accessibles à condition de connaitre son nom. Pire, si il n'y a pas de fichier index.php, index.htm ( et pas de .htaccess ), le contenu du dossier est visible comme un explorateur.

[benassis]

rebonjour,

L'ensemble des sites ont un fichier .htaccess et sont protégés par crawltrack et crawprotect.
Serait-ce suffisant pour contrer une intrusion ?
Une redirection 301 serait-elle utile pour 'dévier' une tentative d'entrée par le répertoire d'un site ?

[benassis]

Rebonjour,

J'ai demandé à l'hébergeur si je pouvais créer des serveurs virtuels pour chaque site hébergé sur leur serveur mutualisé et j'ai exposé le problème.
On m'a répondu par la négative mais qu'avec une redirection dans le .htaccess, comme la suivante, le répertoire serait rendu invisible:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
RewriteEngine On
            RewriteCond %{HTTP_HOST} ^(www.)?siteprincipal.com$ [OR]           
            RewriteCond %{HTTP_HOST} ^siteprincipal.com$ [NC]
            RewriteCond %{REQUEST_URI} ^/répertoire_à_cacher_pour_un_site/(.*)$
            RewriteRule ^(.*)$ - [L,R=404]

Merci à chrtophe