fonction allow_url_fopen

Forums consacré à la conception de site web : W3C (HTML, CSS, XML, XSL etc.), langages de programmation (PHP, JavaScript, etc.), bases de données (MYSLQ ..), scripts, outils de développement.

Modérateur: Modérateurs

fonction allow_url_fopen

Messagede alain » Jeu Oct 18, 2007 4:42 pm

Bonjour :P ,


J'ai une petite question...
Comment fonctionne le flag allow_url_fopen

Est-ce qu'il permet d'injecter des url distantes dans une variable locale du genre:
-www.monsite.com/page.php?a=http://hackerfou.ru/page.txt
Quel est l'inconvéniant de cette option?
Est-ce compatible avec phpbb3?

Merci de vos explications, car j'ai pas trouvé une explication très claire.
A+
alain
 
Messages: 43
Inscription: Ven Juil 28, 2006 2:49 pm
Localisation: fr

Publicité

Messagede alain » Ven Oct 19, 2007 1:08 pm

Up.... :P
alain
 
Messages: 43
Inscription: Ven Juil 28, 2006 2:49 pm
Localisation: fr

Messagede R1_Bzh » Ven Oct 19, 2007 2:05 pm

la directive allow_url_fopen est une configuration du serveur web, soit elle est active sur ton hébergement soit non.

elle permet (ou non) à la fonction fopen d'ouvrir des pages à distante, mais tu ne récupérerera que le contenu de la page bien sur. ex: tu ne peux pas ouvrir un config.php sur un autre site, ou du moins tu auras une page blanche.

Le contenu de la page récupérerée est stocké dans ta ressource fopen et tu peux ensuite la manipuler comme bon te semble.

Pour le point de vue compatibilité, je pense que ça n'a rien à voir et que phpBB3 n'utilise pas cette fonction de toute manière (sauf pour le panneau d'admin pour voir la dernière version peut être)
[ Phea ]: Développement PHP/MySQL/Ajax , hébergement de site & services mail et administration de serveur Unix
[ Coda-Cola ]: Solution de gestion de projets (subversion SVN / Redmine)
[ Rechercher ]
R1_Bzh
phpBB SEO Team
phpBB SEO Team
 
Messages: 214
Inscription: Mer Juil 04, 2007 3:29 pm
Localisation: Toulouse

Messagede alain » Dim Oct 21, 2007 12:33 am

Bonjour,

Je te remercie de tes précisions.
En fait, je pense que cette option doit apporter beaucoup de sécurité en plus...
Du coup, je pensais peut-etre à la mettre en place. C'est possible chez mon hébergeur... seul bémole, il faut pas que ca gène phpbb3... Mais en effet, ca devrait pas créer une grosse gène.

a+
Alain
alain
 
Messages: 43
Inscription: Ven Juil 28, 2006 2:49 pm
Localisation: fr

Messagede fraiddo » Mer Jan 09, 2008 12:11 am

Holé :p

Voilà j'ai un dilemme concernant cette directive. je lis partout que le simple fait d'activer cette option, et paf, on se prend une bonne grosse attaque dans les dents..

Mais comment alors utiliser ce type de script: http://www.dynamicdrive.com/dynamicinde ... /index.htm ?

Quand je vois le nombre de sites qui pompent généreusement sur les sites d'infos et puis apparaitre régulièremment dans les premières pages de Google, je me dis que si c'est activé sur autant de sites, ça doit pas être si dangereux..

Je voulais savoir, c'est possible d'activer ça sur un seul répertoire?

Je voudrais utiliser quelques scripts qui ont besoin d'avoir allow_url_fopen , mais je n'ose pas l'activer..

Mon serveur est sous Ubuntu à la maison, donc jpeux tout y faire dessus :p

Voilou, je voulais avoir vos avis^^

++
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm

Messagede dcz » Mer Jan 09, 2008 11:09 am

alain a écrit:En fait, je pense que cette option doit apporter beaucoup de sécurité en plus...


Que veux tu dire ?
La désactiver peut aider à ce que certains script foireux ne se fasse pas attaquer, mais c'est pas une faille en soit.

@fraiddo

Et bien, tu pourrais je pense activer l'option pour un dossier seulement en l'activant par le .htaccess du dossier en question et en le désactivant par défaut. Avec l'option AllowOverride ALL dans le VHOST pour que le .htaccess puisse changer des options de ce type.

Pour en revenir aux inconvénients, c'est pas une faille en soit d'autoriser php à chercher des pages sur d'autres serveur, mais si ton script qui récupère du contenu distant est foireux (s'il n'initialise pas toutes les variable et / ou si register global est activé) et qu'on peux lui injecter l'url du fichier a aller chercher, cela pourrait permettre d'accéder à des fichier malicieux, voir de hacker le site.

Ce qui me parait plus "dangereux", c'est de pomper du contenu à gogo, car même si certains tirent un bon parti de la chose, je ne pense pas que ce soit une bonne stratégie à long terme. Google et se petit camarade vont forcément réagir, c'est une question de temps et de spam report.
Attention aussi à ne pas arceler les serveur source, une mise en cache des données récupérées me parait impérative dans la majorité des cas. Ne serait-ce que parce que Google et yahoo ne mettront pas en cache du contenu distant récupéré à chaque affichage de page.

Ensuite, faut quand même faire attention au copyright.

++
Useful links :
SEO Forum || SEO Directory || SEO phpBB || Search
____________________

Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Recherche
dcz
Admin
Admin
 
Messages: 21428
Inscription: Ven Avr 28, 2006 9:03 pm

Messagede fraiddo » Mer Jan 09, 2008 11:41 am

dcz a écrit:@fraiddo

Et bien, tu pourrais je pense activer l'option pour un dossier seulement en l'activant par le .htaccess du dossier en question


je l'active comment? AllowOverride permet de passer outre les trucs définis de la conf php, mais que dois-je rajouter d'autre?

php_value allow_url_fopen 1 ?

++
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm

Messagede dcz » Mer Jan 09, 2008 2:05 pm

Code: Tout sélectionner
php_flag Allow_url_fopen On


plutôt, en tout début de .htaccess.

++
Useful links :
SEO Forum || SEO Directory || SEO phpBB || Search
____________________

Liens Utiles :
Forum référencement || Annuaire référencement || Référencement phpBB || Recherche
dcz
Admin
Admin
 
Messages: 21428
Inscription: Ven Avr 28, 2006 9:03 pm

Messagede fraiddo » Mer Jan 09, 2008 2:40 pm

dcz a écrit:
Code: Tout sélectionner
php_flag Allow_url_fopen On


plutôt, en tout début de .htaccess.

++


t'es sur que c'est ça? ça fonctionne pas chez moi :( (et en testant ds le php.ini en remettant sur On ça remarche pr le script)
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm

Messagede SeO » Mer Jan 09, 2008 2:42 pm

Et php_value allow_url_fopen 1 ?

Voir un php.ini pour cette option dans le dossier en question ?
SeO
Admin
Admin
 
Messages: 6334
Inscription: Mer Mar 15, 2006 9:41 pm

Messagede fraiddo » Mer Jan 09, 2008 2:56 pm

SeO a écrit:Et php_value allow_url_fopen 1 ?

non plus

Voir un php.ini pour cette option dans le dossier en question ?

erf, carrément? lol
je recopie mon original et je change l'option, puis je le colle? faut le dire à apache2 comment? :p
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm

Messagede fraiddo » Ven Jan 11, 2008 6:34 pm

re,
tite aide siouplait^^ :p

++
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm

Messagede pydubreucq » Mer Fév 13, 2008 4:10 pm

Bien le bonjour à tous,
J'ai besoin également de cette option sur un seul de mes sites internet.
J'ai essayé plusieurs combinaison, mais sans succès pour l'instant j'ai trouvé cette information, qui ne me convient pas mais qui me parait assez clair :
http://fr3.php.net/manual/fr/ref.filesy ... -url-fopen
Je ne pense pas que ce soit possible, mais je continue de chercher et si je trouve, je post ;)
CiaO ++

Que la force soit avec toi... :?
pydubreucq
 
Messages: 2
Inscription: Mer Fév 13, 2008 4:07 pm
Localisation: Lille

Messagede pydubreucq » Mer Fév 13, 2008 4:17 pm

J'ai trouvé la solution, en tout cas, j'ai mois, ça a l'air de marcher ;)
Il faut mettre :
php_admin_flag allow_url_fopen on
Dans le vhost, ou le .htaccess :D
Bonne journée à tous ;)
pydubreucq
 
Messages: 2
Inscription: Mer Fév 13, 2008 4:07 pm
Localisation: Lille

Messagede fraiddo » Mer Fév 13, 2008 4:19 pm

re ;)

en fait ça se passe ds la conf apache, ds le vhost:

Code: Tout sélectionner
<Directory "/home/toto/website/lastrss">
php_admin_flag allow_url_fopen On
</Directory>
<Location "/home/toto/website/index.php">
php_admin_flag allow_url_fopen On
</Location>


;)
fraiddo
 
Messages: 31
Inscription: Ven Déc 21, 2007 7:18 pm


Retourner vers Développement de site

 


  • Articles en relation
    Réponses
    Vus
    Dernier message

Qui est en ligne

Utilisateurs parcourant ce forum: Google [Bot] et 10 invités