Discussion :

[dorian53]

Bonjour,

Partons du principe qu'un serveur a un DocumentRoot par défaut sur /var/www.
Qu'il y a un vhost de déclaré sur /var/www/com.example/website/public.

Nous sommes d'accord que la conf par défaut d'Apache est bien la suivante.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<Directory />
    AllowOverride None
    Order deny,allow
    Deny from all
</Directory>

Théoriquement il n'y a aucun risque, mais trouvez-vous risqué le fait de stocker des documents qui se doivent être non rootable dans /var/www/com.example/storage ?

[_Mac_]

Ca veut dire quoi "non rootable" ?

[dorian53]

Pas censé être directement accessible en ligne par une simple url.

Par exemple, il faut passer par une page spéciale pour dl (qui nécessite identification + clé de fichier).

[_Mac_]

Dans ce cas, c'est vivement conseillé de mettre ces documents dans un répertoire qui n'est pas un sous-répertoire d'un document root potentiel ou un alias. Comme ça, c'est certain qu'il n'existe aucune URL qui peut pointer sur tes fichiers directement. Mais tu peux aussi mettre un .htaccess avec

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Deny from all

dans le répertoire où tu vas stocker tes fichiers. Ca marche aussi bien, mais si le .htaccess disparaît ou autre chose, tes fichiers seront exposés, et avoir une erreur "forbidden" indique à un pirate qu'il y a quelque chose de caché dans ce répertoire (à condition de connaître son nom, bien entendu).