Archives FluxBB.fr

Les archives de FluxBB.fr

Vous n'êtes pas identifié(e).

Pages : 1

#1 28-08-2006 15:57:07

mangafan
Membre

Syntaxe url capricieuse

Bonjour tout le monde,

Ce problème n'est pas spécifique à PunBB après test cela ce produit aussi sur phpBB.

Lorsqu'on tape une adresse de ce type :

http://www.punbb.fr/forums/viewtopic/index.php

Un bug fait que la page affiche le forum en fesant sauter la feuille de style.

Cela vient visiblement du fait que les adresses

http://www.punbb.fr/forums/index

http://www.punbb.fr/forums/viewtopic

fonctionnent comme un script au lieu d'un répertoire.

La syntaxe mélange répertoire et fichier php éxecutable, c'est très gênant je trouve.

Quand j'ai refait mon forum en retirant puntal pour mettre une page index personnalisée et transformer index.php en forum.php, le problème est survenu avec l'ancienne url de mon forum de type :

http://www.guild-arcadia.net/forum/index.php

La ratatouille m'a produit ce résultat inattendu.

Y'a t-il un risque de sécurité ou est-ce juste gênant pour l'affichage ?

Chez moi, j'ai solutionné en remettant le répertoire forum et une redirection en php sur un fichier index.php.

[c]<?php
header("HTTP/1.1 301 Moved Permanently");
header("Location: ../index.php");
exit();
?>[/c]

Cordialement,

Bruno

Dernière modification par mangafan (28-08-2006 15:59:08)

:canon: Mangafan : Mettez un chat dans votre processeur ! happy

Hors ligne

#2 29-08-2006 15:24:02

mangafan
Membre

Re : Syntaxe url capricieuse

Petit up,

Je penses avoir trouvé la raison.

C'est la syntaxe php5 qui autorise ça visiblement. index.php/ avec le slash à la fin.

Comme mon hébergeur accepte aussi de lancer les script php sans nommer leurs extensions dans l'adresse ça peut poser problème.

Ma redirection sauve le coup mais cette liberté de pouvoir taper des adresses comme celle-là ne provoque-t-elle pas des risques de sécurité ?

http://www.guild-arcadia.net/viewtopic/index.php

C'est pas anodin ça fait quand même sauter les feuilles de styles donc... à moins de créer des répertoires portant le nom de tous mes fichiers php, je vois pas comment empêcher les risques !

Dernière modification par mangafan (29-08-2006 15:25:27)

:canon: Mangafan : Mettez un chat dans votre processeur ! happy

Hors ligne

#3 30-08-2006 15:15:06

mangafan
Membre

Re : Syntaxe url capricieuse

J'en ai vu des sujets qui intéressaient personne mais alors celui-là je le mets dans mon top ten des vents... mdr siffle

:canon: Mangafan : Mettez un chat dans votre processeur ! happy

Hors ligne

#4 30-08-2006 16:12:41

vin100
Membre

Re : Syntaxe url capricieuse

bah faut dire que c'est un peu... étrange ton truc

ici je les forums tournent sous php5 et tu peut constater qu'il n'y a pas cette erreur, c'est plutot uen histoire de path_infos je crois mais est-ce que cela te pose réellement problème ?

Hors ligne

#5 30-08-2006 16:28:40

mangafan
Membre

Re : Syntaxe url capricieuse

Bah je veux pas me retrouver avec des visiteurs la où il ne faut pas.

J'ai testé sous free c'est pareil et comme je comprends pas plus ceux qui se passe comme mécanisme.

Je sais pas si tu vois ce que je veux dire, genre des mélanges inattendus qui donnent accès à des pages admins protégées par un groupe autre qu'admin en passant par viewtopic ou viewforum.

Je suis chez power-heberg et mon poste sur ce problème les a laissés indifférents.

Ca le fait aussi avec phpBB d'ailleurs... et même sur le forum de power-heberg :

http://forum.power-heberg.fr/viewtopic.php?id=1727

http://forum.pafnow.net/index/login.php … 12&start=0 forum d'un autre membre PH

Biensûr je continue de tester d'éventuelles failes jusqu'à maintenant j'ai trouvé surtout des bug et en général c'est toujours la feuille de style qui saute.

Dernière modification par mangafan (30-08-2006 16:30:18)

:canon: Mangafan : Mettez un chat dans votre processeur ! happy

Hors ligne

#6 30-08-2006 16:29:15

dahousemix
Membre

Re : Syntaxe url capricieuse

Exactement, ce n'est pas du à php mais à une option apache qui autorise ou pas d'écrire les url avec ou sans les extensions de fichiers.

Après si cette option est activé, il y a un problème avec punbb qui empêche d'inclure le css c'est tout. En tout cas ce n'est pas une faille de sécurité.

Par contre j'ai remarqué que dans ce cas les pages étaient beaucoup plus longues à s'afficher donc il vaut mieu désactiver cette option (je ne saurai pas te dire laquelle)

Hors ligne

#7 30-08-2006 16:33:03

mangafan
Membre

Re : Syntaxe url capricieuse

Oui dans le doute je vais renommer mes pages admins et créer des repertoires avec redirections pour chaques pages.

Je ne penses pas que PH changera les réglages du serveur pour moi, on a déjà pas la possibilité de passer allow_url_fopen et les register_global à off via htaccess alors pour ça siffle

Dernière modification par mangafan (30-08-2006 16:33:43)

:canon: Mangafan : Mettez un chat dans votre processeur ! happy

Hors ligne

Pages : 1

Pied de page des forums