Bonjour ,


J'ai une petite question...
Comment fonctionne le flag allow_url_fopen

Est-ce qu'il permet d'injecter des url distantes dans une variable locale du genre:
-www.monsite.com/page.php?a=http://hackerfou.ru/page.txt
Quel est l'inconvéniant de cette option?
Est-ce compatible avec phpbb3?

Merci de vos explications, car j'ai pas trouvé une explication très claire.
A+

Up....

la directive allow_url_fopen est une configuration du serveur web, soit elle est active sur ton hébergement soit non.

elle permet (ou non) à la fonction fopen d'ouvrir des pages à distante, mais tu ne récupérerera que le contenu de la page bien sur. ex: tu ne peux pas ouvrir un config.php sur un autre site, ou du moins tu auras une page blanche.

Le contenu de la page récupérerée est stocké dans ta ressource fopen et tu peux ensuite la manipuler comme bon te semble.

Pour le point de vue compatibilité, je pense que ça n'a rien à voir et que phpBB3 n'utilise pas cette fonction de toute manière (sauf pour le panneau d'admin pour voir la dernière version peut être)

Bonjour,

Je te remercie de tes précisions.
En fait, je pense que cette option doit apporter beaucoup de sécurité en plus...
Du coup, je pensais peut-etre à la mettre en place. C'est possible chez mon hébergeur... seul bémole, il faut pas que ca gène phpbb3... Mais en effet, ca devrait pas créer une grosse gène.

a+
Alain

Holé :p

Voilà j'ai un dilemme concernant cette directive. je lis partout que le simple fait d'activer cette option, et paf, on se prend une bonne grosse attaque dans les dents..

Mais comment alors utiliser ce type de script: http://www.dynamicdrive.com/dynamicinde ... /index.htm ?

Quand je vois le nombre de sites qui pompent généreusement sur les sites d'infos et puis apparaitre régulièremment dans les premières pages de Google, je me dis que si c'est activé sur autant de sites, ça doit pas être si dangereux..

Je voulais savoir, c'est possible d'activer ça sur un seul répertoire?

Je voudrais utiliser quelques scripts qui ont besoin d'avoir allow_url_fopen , mais je n'ose pas l'activer..

Mon serveur est sous Ubuntu à la maison, donc jpeux tout y faire dessus :p

Voilou, je voulais avoir vos avis^^

++

alain a écrit:En fait, je pense que cette option doit apporter beaucoup de sécurité en plus...

Que veux tu dire ?
La désactiver peut aider à ce que certains script foireux ne se fasse pas attaquer, mais c'est pas une faille en soit.

@fraiddo

Et bien, tu pourrais je pense activer l'option pour un dossier seulement en l'activant par le .htaccess du dossier en question et en le désactivant par défaut. Avec l'option AllowOverride ALL dans le VHOST pour que le .htaccess puisse changer des options de ce type.

Pour en revenir aux inconvénients, c'est pas une faille en soit d'autoriser php à chercher des pages sur d'autres serveur, mais si ton script qui récupère du contenu distant est foireux (s'il n'initialise pas toutes les variable et / ou si register global est activé) et qu'on peux lui injecter l'url du fichier a aller chercher, cela pourrait permettre d'accéder à des fichier malicieux, voir de hacker le site.

Ce qui me parait plus "dangereux", c'est de pomper du contenu à gogo, car même si certains tirent un bon parti de la chose, je ne pense pas que ce soit une bonne stratégie à long terme. Google et se petit camarade vont forcément réagir, c'est une question de temps et de spam report.
Attention aussi à ne pas arceler les serveur source, une mise en cache des données récupérées me parait impérative dans la majorité des cas. Ne serait-ce que parce que Google et yahoo ne mettront pas en cache du contenu distant récupéré à chaque affichage de page.

Ensuite, faut quand même faire attention au copyright.

++

dcz a écrit:@fraiddo

Et bien, tu pourrais je pense activer l'option pour un dossier seulement en l'activant par le .htaccess du dossier en question

je l'active comment? AllowOverride permet de passer outre les trucs définis de la conf php, mais que dois-je rajouter d'autre?

php_value allow_url_fopen 1 ?

++

Code: Tout sélectionner

php_flag Allow_url_fopen On

plutôt, en tout début de .htaccess.

++

dcz a écrit:

Code: Tout sélectionner

php_flag Allow_url_fopen On

plutôt, en tout début de .htaccess.

++

t'es sur que c'est ça? ça fonctionne pas chez moi (et en testant ds le php.ini en remettant sur On ça remarche pr le script)

Et php_value allow_url_fopen 1 ?

Voir un php.ini pour cette option dans le dossier en question ?

SeO a écrit:Et php_value allow_url_fopen 1 ?

non plus

Voir un php.ini pour cette option dans le dossier en question ?

erf, carrément? lol
je recopie mon original et je change l'option, puis je le colle? faut le dire à apache2 comment? :p

re,
tite aide siouplait^^ :p

++

Bien le bonjour à tous,
J'ai besoin également de cette option sur un seul de mes sites internet.
J'ai essayé plusieurs combinaison, mais sans succès pour l'instant j'ai trouvé cette information, qui ne me convient pas mais qui me parait assez clair :
http://fr3.php.net/manual/fr/ref.filesy ... -url-fopen
Je ne pense pas que ce soit possible, mais je continue de chercher et si je trouve, je post
CiaO ++

Que la force soit avec toi...

J'ai trouvé la solution, en tout cas, j'ai mois, ça a l'air de marcher
Il faut mettre :
php_admin_flag allow_url_fopen on
Dans le vhost, ou le .htaccess
Bonne journée à tous

re

en fait ça se passe ds la conf apache, ds le vhost:

Code: Tout sélectionner

<Directory "/home/toto/website/lastrss">
php_admin_flag allow_url_fopen On
</Directory>
<Location "/home/toto/website/index.php">
php_admin_flag allow_url_fopen On
</Location>