Document non trouvé

Par Philippe Poisse le dimanche, août 9 2015, 15:45 - Web - Lien permanent

Suite à un rapide audit sécurité fait par un « petit jeune » sur mon blog il s’avère que Dotclear a un petit défaut en terme d’erreur 404.
Donc voici un petit correctif rapide à mettre en œuvre.

État des lieux

Tout blogeur un peu sérieux sait que la sécurité est un point important de la gestion au quotidien d’un blog. Des pages d’erreur personnalisées sont obligatoires si on désire améliorer la sécurité.
En effet, par défaut, les serveurs peuvent renvoyer des informations utiles à un pirate pour une attaque contre le blog ou le serveur.
Dotclear dispose d’un mécanisme de page d’erreur, mais il ne semble marcher que si un « ? » est présent dans l’url.
Par exemple www.monblog.fr/?gnacgnac redirigera vers la page d’erreur, alors que www.monblog.fr/gnacgnac redirigera vers la page d’erreur par défaut du serveur. Il s’agit juste d’un petit problème de réécriture des url. Les développeurs n’ont peut être pas pensé à tous les cas de figure.

Un fichier .htaccess pour corriger tout ça

La solution la plus simple et la plus rapide est de mettre en place un fichier .htaccess qui, en cas d’erreur, va rediriger vers la page d’erreur de Dotclear.
Curieusement l’archive de Dotclear téléchargeable sur le site officiel ne semble pas contenir de fichier de ce type.

Voici le contenu du fichier :


RewriteEngine on
# redirection pour les principales erreurs
ErrorDocument 401 /?u
ErrorDocument 403 /?u
ErrorDocument 404 /?u
ErrorDocument 500 /?u

En fonction de votre serveur il faudra peut-être faire des petites adaptations.
À la première ligne on active la redirection puis on indique la page vers laquelle on veut rediriger en fonction des erreurs. Ici je redirige les erreurs 401, 403, 404 et 500 vers la même page, www.monblog.fr/?u.
Le système de réécriture de Dotclear va considérer qu’il s’agit de la page www.monblog.fr/index.php?u. Cette page n’existant pas, la page d’erreur sera affichée.

Il est possible de rediriger pour chaque erreur et la redirection peut se faire vers des pages différents pour chaque erreur. Ce système est assez souple.
Les deux liens suivants vous permettront d’aller plus loin au sujet des fichiers .htaccess :
La page Wikipedia : https://fr.wikipedia.org/wiki/.htaccess
La documentation officielle sur le site d’Apache : http://httpd.apache.org/docs/2.4/fr/howto/htaccess.html

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://blog.philippe-poisse.eu/index.php?trackback/180

Fil des commentaires de ce billet