https://www.spip.net/ Système de Publication pour Internet fr SPIP - www.spip.net https://www.spip.net/local/cache-vignettes/L144xH107/siteon0-0ecda.png?1615902774 https://www.spip.net/ 107 144 https://www.spip.net/fr_article2628.html https://www.spip.net/fr_article2628.html 2004-08-08T21:08:13Z text/html fr notabene <p>Cet article vous concerne si la machine qui vous héberge n'utilise pas Apache, le serveur Web le plus répandu, mais le logiciel Microsoft IIS.</p> - <a href="https://www.spip.net/fr_rubrique468.html" rel="directory">Optimisation / Système</a> <div class='rss_texte'><!--sommaire--><div class="well nav-sommaire nav-sommaire-2" id="nav69f3a03a499570.68291217"> <h2>Sommaire</h2><ul class="spip" role="list"><li> <a id="s-Securite-par-defaut-de-SPIP"></a><a href="#Securite-par-defaut-de-SPIP" class="spip_ancre">Sécurité par défaut de SPIP</a></li><li> <a id="s-Proteger-ses-donnees-sous-IIS-une-etape-de-plus"></a><a href="#Proteger-ses-donnees-sous-IIS-une-etape-de-plus" class="spip_ancre">Protéger ses données sous IIS : une étape de plus</a></li></ul></div><!--/sommaire--><section class="sommaire-section sommaire-section_niveau1 sommaire-section_h2" aria-labelledby="Securite-par-defaut-de-SPIP"><h2 class="h2" id='Securite-par-defaut-de-SPIP'>Sécurité par défaut de SPIP<a class='sommaire-back sommaire-back-2' href='#s-Securite-par-defaut-de-SPIP' title='Retour au sommaire'></a></h2> <p>Il existe deux dossiers « sensibles » dans SPIP, ce sont <code class='spip_code spip_code_inline' dir='ltr'>tmp/</code> et <code class='spip_code spip_code_inline' dir='ltr'>config/</code>. Le premier comporte tous les fichiers qu'utilise votre cache pour accélérer l'affichage des pages, stocke les journaux d'activité de spip (les <code class='spip_code spip_code_inline' dir='ltr'>spip.log</code>) et vous permet notamment de créer <code class='spip_code spip_code_inline' dir='ltr'>dump.xml</code>, le fichier de sauvegarde de la base de données.<br class='autobr' /> Le second contient les paramètres de connexion à votre base de données et, dans le cas d'une utilisation de sqlite, la base de donnée elle-même.</p> <p>Or le fichier <code class='spip_code spip_code_inline' dir='ltr'>dump.xml</code> contient des données très sensibles : en particulier on peut y voir <i>tous</i> les articles, même s'ils ne sont pas rendus publics sur le site, sans compter qu'il liste également les identifiants et les mots de passe<span class="spip_note_ref"> [<a href="#nb1" class="spip_note" rel="appendix" title="Les mots de passe sont chiffrés par SPIP, mais gardez bien à l'esprit (…)" id="nh1">1</a>]</span> des rédacteurs et administrateurs du site.</p> <p>La sécurité de tous ces fichiers est assurée traditionnellement par des fichiers de configuration d'accès nommés <code class='spip_code spip_code_inline' dir='ltr'>.htaccess</code>. SPIP génère automatiquement ces fichiers pour empêcher l'accès aux données sensibles stockées sur le serveur : vous pouvez vérifier que <code class='spip_code spip_code_inline' dir='ltr'>tmp/</code> et <code class='spip_code spip_code_inline' dir='ltr'>config/</code> contiennent chacun un fichier <code class='spip_code spip_code_inline' dir='ltr'>.htaccess</code>.<br class='autobr' /> Hélas, ces fichiers fonctionnent sous <a href="http://httpd.apache.org/" class="spip_out" rel="external">Apache</a> (le serveur Web libre faisant tourner la majorité des sites Web de l'Internet) mais pas sous IIS (Internet Information Services, <a href="http://www.microsoft.com/iis" class="spip_out" rel="external">le serveur Web de Microsoft</a>).</p> </section><section class="sommaire-section sommaire-section_niveau1 sommaire-section_h2" aria-labelledby="Proteger-ses-donnees-sous-IIS-une-etape-de-plus"><h2 class="h2" id='Proteger-ses-donnees-sous-IIS-une-etape-de-plus'>Protéger ses données sous IIS : une étape de plus<a class='sommaire-back sommaire-back-2' href='#s-Proteger-ses-donnees-sous-IIS-une-etape-de-plus' title='Retour au sommaire'></a></h2> <p>Si votre site SPIP est installé sur un IIS, n'importe qui peut donc voir les dossiers censément sécurisés via <code class='spip_code spip_code_inline' dir='ltr'>.htaccess</code> : il faut donc les protéger.</p> <p>Pour protéger un dossier sur votre site : allez dans le panneau d'administration de votre serveur Web, faites un clic droit sur le dossier concerné, cliquez sur « propriétés », et dans l'onglet « Répertoire » décochez la case « Lire ».</p> <div class='spip_document_2628 spip_document spip_documents spip_document_image spip_documents_center spip_document_center'> <figure class="spip_doc_inner"> <img src='https://www.spip.net/local/cache-vignettes/L459xH451/spip_secu_iis-3-a888c.gif?1594835766' width='459' height='451' alt='' /> </figure> </div> <p>Faites cette opération pour chacun des deux dossiers <code class='spip_code spip_code_inline' dir='ltr'>tmp/</code> et <code class='spip_code spip_code_inline' dir='ltr'>config/</code>. Si la manipulation est bonne, vous ne devriez plus pouvoir accéder aux fichiers de ces dossiers à travers le serveur web. Testez votre configuration en essayant d'afficher <code class='spip_code spip_code_inline' dir='ltr'>http://www.votresite.com/tmp/log/spip.log</code> avec votre navigateur. Vous devriez obtenir un message du type « Accès refusé ».</p></section></div> <hr /> <div class='rss_notes'><div id="nb1"> <p><span class="spip_note_ref">[<a href="#nh1" class="spip_note" title="Notes 1" rev="appendix">1</a>] </span>Les mots de passe sont chiffrés par SPIP, mais gardez bien à l'esprit qu'aucune protection n'est inviolable.</p> </div></div>