Si tu veux un exemple de Indexes en action: http://files.orgrim.net

Non indexes n'est pas une faille de sécurité en soi. C'est juste la configuration de ton apache qui peut amener à ce que s'en soit une. Pour moi, ce serait comme dire que le sudo était une faille de sécurité, en effet, s'il est mal configuré, il peut mettre gravement en péril le système.

Bon en tout cas, oui c'est bien la variable indexes qui permet d'avoir le listing, là dessus tout le monde est d'accord.

Bon, suite à ta recherche, j'ai aussi fais la mienne vite fait.

Alors pour la signature du serveur, il suffirait juste de configurer proprement ServerTokens et ServerSignature.

Ensuite, pour le directory listing, comme on peut réécrire comme cela toute la partie HTML avant et après le listing (et même customiser les icones etc), on peut j'imagine dégager la version d'apache sur la page.

Enfin, si le problème est de trouver la version du serveur (ce qui est souvent une première étape en sécu), cette simple commande me crache le serveur utilisé et éventuellement sa version:

  wget --save-headers www.leSiteQueVousVoulez.org  -O - 2> /dev/null | grep Server

Bref... on s'amuse on s'amuse

/me retourne jouer avec son postgresql.

Oui, tout à fait, le directory listing est une fonctionnalité qui peut s'avérer très utile si on a un dossier de documents qui ne sont pas au format html; ça évite de devoir créer et maintenir à jour une page d'index. Mais cette fonctionnalité introduit une augmentation des risques à cause de la mise à disposition de plus d'informations que si le serveur te renvoie un 403 ou 404 (en masquant sa version... ). C'est pour cette raison je crois que certains associent (confondent?) cette fonctionnalité à une faille de sécurité.

Euh pour les README, HEADER... je ne connais pas, j'ai donc cherché un peu, ça me semble se limiter à des inclusions (donc des ajouts d'info ) dans le directory listing généré. Il reste, pour ce que j'ai compris du lien, la solution du IndexIgnore sélectif.

Allez, je laisse la place à kokoro.

Et merci à armen que je n'envisageais aucunement de corriger.

Mouai, non, le directory listing est une fonctionnalité à part entière voilà tout.

Après, ce dernier est configurable il me semble pour éviter d'exposer des infos non désirées qui le sont pas défaut (genre avec les fichiers HEAD, FOOT et README si ma mémoire est bonne ?).

Concernant l'aspect "faille de sécurité", il me semble que le problème que soulève l'accès au listing des répertoires est surtout que cela divulgue des informations qui peuvent être utiles à l'attaquant. Je pense par exemple à des logiciels qui ont un interface de gestion web et qui comptent justement sur la méconnaissance du nom de répertoire dans lequel se situe la page d'accès pour en assurer ou au moins en renforcer la sécurité. Je n'ai plus le détail en tête, mais j'en ai trouvé un qui fait cela en testant plusieurs solutions de boutique en ligne dernièrement. Cela évite aussi que l'on puisse avoir accès à la liste des fichiers d'un répertoire en demandant un fichier qui n'existe pas.

Donc il ne s'agit pas à mon avis d'une faille de sécurité d'Apache au sens propre, mais de la diminution du niveau de sécurité par obfuscation.

tux12 qui fait de l'intrusion dans ce fil.

Je pensais que j'en avais dis assez ... (apprendre à pêcher plutôt que de donner du tout cuit ...).

Apache se configure via des fichiers, situés habituellement dans le répertoire /etc/apache2 chez Debian. Le fichier qui contient les paramètre du serveur Apache2 est apache2.conf.

En fait, sur mon poste de travail, ce fichier contient des include qui pointent sur les fichiers contenant les paramètres. Celui qui nous intéresse est dans le répertoire /etc/apache2/sites-enabled/ et s'appelle 000-default, dont voici un extrait.

J'ai créé un répertoire test007, si j'essaye d'afficher http://127.0.0.1/test007, j'ai une belle page dont le titre est "Index of /test007" et listant les fichiers que j'ai mis dans ce répertoire (pas la peine de cliquer sur le lien que FluxBB a reconnu, ça marchera pas )

Si je remplace l'option Indexes par -Indexes dans le paragraphe extrait ci-dessus, après un sudo /etc/init.d/apache2 reload, là Apache est moins coopératif et me renvoie une erreur 403 Forbidden.

Maintenant, parlons de la pseudo faille de sécurité : Je souhaite que sur mon site par défaut on tombe en 403 si pas de pages d'index et sur un répertoire particulier (appelons le test006 et considérons qu'il est placé à la racine de mon site), j'autorise Apache à lister le contenu du répertoire. Je vais donc modifier le fichier cité ci-dessus comme suit :

Il me semble que ce genre ce comportement est plus près de la fonctionnalité que de la faille (d'autant qu'on se traîne cette faille depuis des lustres, ce qui voudrait dire que les développeurs d'Apache sont incapables de la corriger ??? ).

La config d'Apache, utilisée pour les exemples ci-dessus, est celle qu'on trouve de base après avoir installé le paquet apache2 sur une Ubuntu 8.04 LTS (Oui, je sais, c'est pas une vraie Debian ). Les exemples cités sont à prendre en tant qu'exemple (d'après ce que j'ai lu il y a quelques années, le FollowSymLinks peut aussi conduire à des problèmes de sécurité). je ne suis pas un expert dans la configuration d'Apache, loin de là. Si un gourou Apache vient à passer, qu'il me corrige (pas trop fort quand même, hein ! )

J'espère que cela répond à tes attentes, sinon tu peux toujours une autre question.

Armen un peu fatigué d'avoir barboté ce midi.

Je ne sais pas quel serveur web tu utilises. Le problème que tu décris me fait penser au cas où l'internaute pointe sur un répertoire ne contenant pas de fichier à afficher par défaut.

De mémoire, sous Apache (version ?), la directive

Option -Indexes

dans une section <Directory ...> permet de ne pas lister le contenu du répertoire. Essaye de voir ce qui correspond pour le serveur web que tu utilises ...

Je ne pense pas que ce soit une faille de sécurité. C'est plutôt une fonctionnalité utile sur un serveur de test, à désactiver sur un serveur de prod sauf si tu veux mettre des fichiers à télécharger dans un répertoire, ça évite de devoir générer une liste des fichiers à la main (et de la régénérer quand on ajoute ou supprime un fichier).

En espérant avoir donné une piste.

Armen, préparant ses valises ...