Sur un forum phpBB3, lors de l’install, il faut être “ouvert” pour plusieurs fichiers, dont config.php (777).
Il est recommandé, une fois l’install terminée, de modifier les droits de ce fichier config.php en 644. C’est à dire que seul l’utilisateur peut le modifier ce qui semble logique…
MAIS, les autres, peuvent le lire (644 = -rw-r–r--=)
Le problème, c’est que ce fichier contient le mdp — en clair.
Si on passe ce fichier en 640, y_veu_pa 
Est-ce une faille, est-elle contournable 
Perso, je m’en fous car c’est pour jouer chez moi avec moi-même et sans passer par le web, mais si d’autres ont la même chose avec un phpBB3 “ouvert au monde” , ça risque d’être gênant, non ?
Une idée pour se protéger ?
Peut-on chiffrer le fichier et, si oui, restera-t-il fonctionnel ?
Un fichier php quelque soit son chmod (même un 777) ne sera jamais visible en lecture depuis un navigateur web. A moins d’exploiter une faille php ou d’un quelconque service réseau permettant d’avoir un remote shell sur la machine et lire ce fichier php
Quand on dit de protéger les fichiers de configuration php des applications web (CMS, wiki, forum, etc…) c’est pour éviter que des utilisateurs locaux accèdent à ces fichiers mais pas les internautes.
Après tout est possible dans le domaine de la sécurité, donc dans tous les cas c’est sur que c’est pas gégé de mettre des fichiers php sensibles en 775 et ceux même pour des accès uniquement via le serveur web.
Donc, si je te comprends bien, sauf un accès en ssh ouvert pourrait être dangereux ?
Je suis seul sur la machine, donc en direct, no problem.
Et pour le chiffrement du fichier ? possible ?
Salut,
Je ne pense pas que ce soit un vrai problème, l’index.php empêche que l’on navigue dans le répertoire ou se trouve ce fichier. Donc à moins d’être capable de naviguer dans le répertoire en “zappant” le fichier index.php (ce qui me semble pas évident) je ne vois pas comment faire ça…
Houlà, j’arrive après la bataille moi… 
[quote=“lol”]Salut,
Je ne pense pas que ce soit un vrai problème, l’index.php empêche que l’on navigue dans le répertoire ou se trouve ce fichier. Donc à moins d’être capable de naviguer dans le répertoire en “zappant” le fichier index.php (ce qui me semble pas évident) je ne vois pas comment faire ça…
Houlà, j’arrive après la bataille moi… [/quote]
Je n’étais pas remonté jusqu’à l’index, je vais aller y voir.
Salut,
Dans le mode d’emploi de phpBB3 il est dit de le passer en 640 mais, car il y a un mais, cela ne fonctionne pas il faut le mettre en 644
meme en virant l’index.php/index.html et en activant le listing de fichier dans apache de sorte à avoir un genre de serveur FTP à la sauce apache (c’est a dire avec le célèbre “index of /” en tête de page) et bien même ici il est impossible d’accéder au contenu d’un fichier php, heureusement ! Vous pouvez faire ce que vous voulez (clic droit / enregistrer sous, le déplacé, etc…), et même utiliser wget en mode aspiration de site, même avec tout ça le contenu du fichier php restera sur le server
Oui, ou tout autre moyen d’accéder à un shell (rlogin, telnet, etc…) ou faille de sécurité genre de chez phpbb
completement
Possible, certainement, mais il faudrait écrire une fonction php de décryptage à chaque appel du fichier config.php par les includes de phpbb… allez au boulot !
Entre nous, le seul forum que j’ai testé et administré viteuf était aussi un phpbb… C’était pour une utilisation très très basique avec 5 pots en guise de membres et pour seulement 6 mois d’activités.
Pour une utilisation aussi sommaire, tous le monde te dira d’utiliser plutôt fluxbb, et même pour une grosse utilisation, beaucoups préfèreront fluxbb car moins usine à gaz et moins exposé à de grosses failles sécurité… Après j’ai jamais testé… Mais je crois en certains “on dit”
[quote=“ggoodluck47”]Salut,
Dans le mode d’emploi de phpBB3 il est dit de le passer en 640 mais, car il y a un mais, cela ne fonctionne pas il faut le mettre en 644 [/quote]
Il faut que le groupe du fichier soit www-data
[quote=“fran.b”][quote=“ggoodluck47”]Salut,
Dans le mode d’emploi de phpBB3 il est dit de le passer en 640 mais, car il y a un mais, cela ne fonctionne pas il faut le mettre en 644 [/quote]
Il faut que le groupe du fichier soit www-data[/quote]
Pas mieux 
Quel est le nom d’utilisateur de apache?
Re,
Je suis connecté comme : gerard
le config.php est root:www-data
Il y a pas mal de temps déja j’ avais un forum phpBB et oui il est possible de crypter plusieurs fichier dont le config.php je n’ ai plus les liens sous la main, personnellement je n’ ai jamais testé car à moins que son forum soit mondialement connu il n’ y a que peu de risque pour des forums phpBB à jour d’ être piraté.
Le problème n’est pas le piratage mais le fait qu’un MDP soit inscrit en clair dans un fichier en 644 donc lisible par quelqu’un qui a accès à la machine.
Ça semble quand même assez illogique.
Bien sûr, pour entrer dans le dossier /var/www/ il faut être root mais ensuite ???
[quote=“ggoodluck47”]Re,
Je suis connecté comme : gerard
le config.php est root:www-data[/quote]
Ça n’est pas ça, quand le serveur tourne et que tu fais top, qui possède le processus apache2?
[quote=“ricardo”]Bien sûr, pour entrer dans le dossier /var/www/ il faut être root mais ensuite ???[/quote]Nop… seul “root” a le droit d’écrire… mais pour la “lecture” tout le monde peut (“par défaut”…)…
[quote=“fran.b”][quote=“ggoodluck47”]Re,
Je suis connecté comme : gerard
le config.php est root:www-data[/quote]
Ça n’est pas ça, quand le serveur tourne et que tu fais top, qui possède le processus apache2?[/quote]
www-data
Donc si le fichier et le répertoire appartiennent à www-data ou si le fichier en en 640 avec un groupe contenant www-data, ça marchera. Ça n’est pas le cas?
Re,
Et bien ils n’ont pas tout compris puisque le répertoire appartient à root et que c’est toi qui m’a fait changer le fichier qui sinon appartenait aussi à root.
Vas pour 644, dans mon cas, je suis seul sur cette machine et dans ce bureau.
C’était plus pour comprendre 