06-03-2010, 07:43 PM
(06-03-2010, 06:24 PM)Argorate a écrit : 10% et 95% pour quelle méthode? ^^
Sinon, si je demande ça, c'est parce qu’on m'a sortie, lors de ma soutenance de projet, que c'était une grosse faille de sécurité… Alors j'ai dis exactement pareil que sephi et ils m'ont sorti : "Oui mais on peut par des moyens détourné faire afficher le contenu de la page PHP" ou chez pas quoi, ils n’ont pas étaient clair. Je n’ai pas insisté pour ne pas risquer de faire baisser ma note... (Ces gens sont bête est borné).
Bref, zetes bien sur que c'est une méthode clean?
La méthode dont on parle consiste à configurer son serveur de façon à avoir un répertoire public. Pour ça, il faut que l'application soit bâtie selon une architecture de ce genre :
my_app
|-- public
| |-- images
| |-- index.html
| |-- javascripts
| `-- stylesheets
`-- secret_file.php
C'est le cas de la majorité des hébergements mutualisés (seul le nom du répertoire public diffère, c'est souvent www ou public_html). Si ce n'est pas le cas, il est temps de changer d'hébergement
Derrière tout ça, il y un VirtualHost de ce genre :
<VirtualHost *:80>
DocumentRoot /www/my_app/public # Adresse physique du site sur le serveur.
ServerName nom-de-domaine.com # Nom d'hôte du site.
</VirtualHost>
Ainsi, quand on va sur nom-de-domaine.com, on est dans public/ et on ne peut pas remonter dans l'arborescence (pour accéder à secret_file.php). Par contre, on peut accéder à index.html et descendre dans l'arborescence (pour accéder aux dossiers images et compagnie).
Le jury qui t'a noté était sûrement constitué de clowns. Ça fait bien de dire que telle ou telle sécurité ne tient pas : encore faut-il le prouver (ou montrer des ressources qui le prouvent).
Sephi-Chan