[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[Dolibarr-bugtrack] [bug #27607] Les pièces jointes ne sont pas protégée
From: |
Sylvain Beucler |
Subject: |
[Dolibarr-bugtrack] [bug #27607] Les pièces jointes ne sont pas protégées par défaut |
Date: |
Mon, 05 Oct 2009 14:40:31 +0000 |
User-agent: |
Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.9.0.14) Gecko/2009091010 Iceweasel/3.0.6 (Debian-3.0.6-3) |
URL:
<http://savannah.nongnu.org/bugs/?27607>
Summary: Les pièces jointes ne sont pas protégées par
défaut
Project: Dolibarr
Submitted by: Beuc
Submitted on: lun 05 oct 2009 14:40:26 GMT
Severity: 3 - Normal
Status: None
Privacy: Private
Assigned to: None
Open/Closed: Open
Discussion Lock: Any
Release: 2.6.1
Operating System: None
_______________________________________________________
Details:
Les pièces jointes sont stockées dans un sous-dossier "documents" de
"htdocs".
"htdocs" étant nécessairement public pour exécuter les fichiers PHP,
"documents" l'est aussi. Par conséquent n'importe qui peut taper consulter
"htdocs" directement, sans s'authentifier, et consulter les propositions, les
factures, etc.
Je suggère de déplacer ce dossier dans le répertoire parent, qui en
principe n'est pas public.
De plus, on pourrait ajouter par défaut un fichier
htdocs/documents/.htaccess pour verrouiller la consultation de ce répertoire,
dans le cas où l'hébergement ne permet pas de stocker des fichiers hors de
l'arborescence Apache:
Order allow,deny
Deny from all
Ceci est d'autant plus problématique si l'hébergement est réalisé par un
prestataire extérieur, avec une adresse publique.
_______________________________________________________
Reply to this item at:
<http://savannah.nongnu.org/bugs/?27607>
_______________________________________________
Message posté via/par Savannah
http://savannah.nongnu.org/
- [Dolibarr-bugtrack] [bug #27607] Les pièces jointes ne sont pas protégées par défaut,
Sylvain Beucler <=