Bonjour,
Y a t'il une solution pour empêcher, sur une offre performance 4, un utilisateur ftp d'utiliser la fonction readdir() afin de l'arborescence des fichiers des autres utilisateur pour par exemple trouver les mots de passes des bases mysql ? C'est quand même pas très secure si il n'y a aucune solution …
Quand tu créées un utilisateur ftp, tu définies le répertoire cible et l'utilisateur ne peut accéder qu'à ce répertoire et ce qu'il contient.
En FTP oui. Mais un script PHP avec la fonction readdir() permet quand meme à l'utilisateur d'afficher tous les fichiers …
Tu mets phpfm.php (sourceforge > phpfm) dans ton hébergement, et tu as accès à tout ce à quoi le serveur web a accès.
Planque-le bien car c'est la porte ouverte aux piratages.
Sur un serveur dédié, tu peux même remonter dans /etc et voir tout ce qui read pour everyone, ou dans /home/autre-utilisateur et altérer tout ce que l'utilisateur www-data ou httpd peut modifier.
Vous aurez compris que si vous avez un répertoire "upload" où n'importe qui peut déposer des fichiers php et qu'il n'y a pas une directive pour éviter de pouvoir les exécuter, vous êtes gravement vulnérable.
Effectivement, on peut parcourir l'arborescence de son hébergement en php. Par contre, on ne voit que les répertoires de son propre hébergements mutualisé.
Moralité : il ne faut pas définir de répertoire cible d'un utilisateur ftp dans l'arborescence d'un site Internet sur un hébergement mutualisé et plus généralement réserver le partage d'un hébergement mutualisé aux utilisateurs ayant des intérêts strictement communs.
Du point de vue d'OVH, cela se tient…
Encore plus généralement, dès que l'on permet le téléchargement sur un serveur (les canadiens ont un terme plus concis et sans ambiguïté : téléversement) on a vraiment intérêt à neutraliser et borner l'usage de ce qui est téléversé !