Il y a beaucoup de fichiers placés dans le répertoire Bugzilla
qui ne doivent pas être accessibles depuis le Web. À cause de la façon dont est actuellement
structuré Bugzilla, la liste de ce qui doit ou ne doit pas être accessible
est plutôt compliquée. Un moyen rapide est d'exécuter le script
testserver.pl pour vérifier que votre serveur Web sert les pages de
Bugzilla comme il le doit. Si ce n'est pas le cas, veuillez suivre les quelques
étapes ci-dessous.
![[Astuce]](../images/tip.gif) | |
Bugzilla sait créer des fichiers
|
Dans le répertoire principal de Bugzilla, vous devez :
Bloquer :
*.pl,*localconfig*
Dans le répertoire
data:Bloquer tout
Dans le répertoire
data/webdot:Si vous utilisez un serveur « webdot » distant :
Bloquer tout
Mais autoriser :
*.dotseulement pour le serveur « webdot » distant
Sinon, si vous utilisez un « GraphViz » local :
Bloquer tout
Mais autoriser :
*.png,*.gif,*.jpg,*.map
Et si vous n'utilisez aucun serveur « webdot » :
Bloquer tout
In
Bugzilla:Bloquer tout
Le répertoire
template:Bloquer tout
Assurez-vous que les données qui ne doivent pas être accédées à distance soient correctement
bloquées. Accordez un intérêt particulier au fichier localconfig qui contient
le mot de passe de votre base de données. Gardez à l'esprit que certains éditeurs créent des
fichiers temporaires ou de sauvegarde dans le répertoire de travail et que ceux-ci ne doivent pas être
accessibles non plus. Pour plus d'informations, consultez le
bogue 186383
ou
Bugtraq ID 6501.
Pour tester, exécutez le script testserver.pl.
| |
Assurez-vous de consulter Section 2.2.4, « Le serveur Web » pour les intructions spécifiques au serveur Web que vous utilisez. |