Slt,
En faisant des recherches je suis tombé sur un site extraordinaire sur le .htaccess
http://perishablepress.com/press/2006/01/10/stupid-htaccess-tricks/http://perishablepress.com/press/2007/11/21/creating-the-ultimate-htaccess-anti-hotlinking-strategy/faut fouiller sur le site mais il regorge d'informations
, j'ai pas encore tout vu ni fait toutes les modifs.
+
http://www.askapache.com/htaccess/apache-htaccess.htmlJ'ai repris ton .htaccess et j'ai rajouté et commenté quelques trucs qui était activés par défaut et j'ai éclairci avec des commentaires
par catégories c'est + facile pour s'y retrouver.
Ci-joint
le mieux si on veut travailler ensemble la dessus c'est d'avoir un seul fichier de base, regarde j'ai mis l'heure et date au début du fichier
# pragmaMx - Web Content Management System
# $Revision: 0.1 $
# $Date: 2008/03/26 10:20 $
Comme cela tu fais tes modifs et tu change la versions (ex: 0.2) l'heure et date au besoin ainsi on est sur de travailler sur la dernière version.
ce qui serait bien je pense c'est de mettre en plus en commentaire la source dans les règles si ça vient d'un site, comme ça on peu effectuer un double controle, tu en pense quoi ?
Sinon je suis tombé sur un post d'andi qui parle de la configuration php:
; - short_open_tag = Off
Für pragmaMx kann das Off sein, weil bereits komplett darauf überprüft und angepasst. Aber Grundeinstellung sollte On sein. Viele Scripte, auch aktuelle, verwenden nur die Kurzform der opentags (<?). Diese Scripte werden dann entweder im Quellcode angezeigt, oder einfach nur ne weisse Seite. Da sucht man sich tot, um auf den Fehler zu kommen...
; - safe_mode = Off
Jop, das verursacht nur Ärger und wird spätestens mit php6 abgeschafft. Selbst die PHP-Entwickler haben zugegeben, dass es zur Sicherheit nicht viel beiträgt.
; - open_basedir = xxxx
Finde ich ne gute Sache, wenn es realistisch konfiguriert ist, also > Ja.
; - expose_php = On
Ich wäre da eher für Off! Wird auch vom Online-Scanner "Chorizo" als Sicherheitslücke ausgegeben.
; - memory_limit = 16M
Jop, minimal 16M. Früher war der Standard mist niedriger.
; - display_errors = Off
Sollte für unsaubere/alte Scripte standardmässig auf Off stehen. Saubere Scripte verhindern die Ausgabe sowieso durch ein integriertes Error-Handling.
; - log_errors = ??
Wäre schön, wenn das konfigurierbar wäre.
; - register_globals = Off
Für mich der wichtigste Punkt. Das muss OFF sein. Scripte die damit nicht zurecht kommen sind völlig veraltet und von vornherein als unsicher zu bezeichnen. Fast alle Serverhacks, die irgendwie mit remote-include funktioneren, funktionieren nur weil register_globals on ist. Bekannte Beispiele sind da der alte my-Egallery Bug, oder der bekannte Coppermine Bug.
http://www.securityfocus.com/bid/9113/exploithttp://www.securityfocus.com/archive/1/441530/30/0/threaded; - register_long_arrays = Off [Performance]
; - register_argc_argv = Off [Performance]
Die Dinger sind für moderne Scripte unnötig, pragmaMx braucht diese Einstellung nicht, verbraucht nur Speicher. Sollte aber konfigurierbar sein, weil andere/alte Scripte das evtl. noch benötigen.
; - magic_quotes_gpc = Off [Performance]
Hier würde ich das Gegenteil "On" als Standard empfehlen. Durch das Maskieren versch. Sonderzeichen können etliche Sicherheitslücken in unsauber gecodeten php-Scripten gestopft werden (z.B. sql-injection). PragmaMx braucht das nicht, kann also auch "Off" sein. Wird aber mit php6 wegfallen!
; - auto_prepend_file =
; - auto_append_file =
Wäre schön, wenn das konfigurierbar wäre. Damit könnte man schöne Sachen, gerade in Bezug auf Sicherheit, machen.
; - include_path = ".:/php/includes"
Hier sollte auch PEAR erscheinen, wenn es hoffentlich installiert ist...
; - allow_url_fopen = On
Aus Sicherheitsgründen sollte das auf OFF sein. Leider funktionieren damit aber nicht mehr alle Scripte, weil nicht nur include/require verhndert wird, sondern auch fopen() etc.
; - allow_url_include = Off
Ab php5.2 gibt es diese Einstellung, was das bei allow_url_fopen genannte Problem wieder ausgleicht. Ein starkes Argument um auf 5.2 umzurüsten!
En fait on peu rajouter des php_value ou flag dans .htaccess mais certaines valeurs sont correctes sur les hébergeurs (cf php info)
