url?

Tu peux donner le lien, histoire qu'on vérifie par nous même, sinon on ne pourra pas valider le pebkac.

(plus c'est gros, plus ca passe)

Le .htaccess est souvent bien méconnu, même par des webmasters 'professionnels', alors pour les non-initiés...

Cette petite erreur permet de trouver souvent, facillement des .mp3 voire .avi et .mkv. ;)

C'est normal les étoiles ? il faut mettre quoi a la place ? :)

Google est ton ami

".free.fr/videos.html x"

J'aurais plutôt envie de taper :

inurl:"?.free.fr/videos.html" + le mot-clé pervers que vous souhaitez.

La recherche donné précédemment donne des résultats qui semblent cohérents (en enlevant les guillemets). Etant au boulot, je suis pas allé vérifier.

Une question intéressante serait de savoir comment l'auteur est arrivé sur cette page ;)

Penis exist between keyboard and chair

et en plaçant des termes que Apache met systématiquement quand il liste ? Genre "sort by last modified" ? ou "parent directory" ?

Espérons que la personne en question ne lis pas ce qui est raconté ici, sinon l'astuce ne sera plus disponible longtemps ^^

Pourquoi pas, quoique je pencherai plutôt pour le combo classique « intitle:"Index of" », comme lorsqu'on cherche notamment des fichiers sans passer par le P2P...

Ça ne veut pas dire, pour peu que la nana en question s'occupe elle-même de son site, elle ne risque pas de s'en rendre compte :) ....

des passwords.txt ou .xls aussi ...

À défaut de protéger efficacement la totalité d'un site, un index.htm vide permet au moins de cacher l'arborescence du répertoire courant...

bon d'accord ça se contourner facilement.

Il n'y a pas longtemps j'ai achète un tuto surlà sécurisation de sites en php. Seulement en regardant un peu le code de la page du player, l'url de la vidéo appelée était videos/titre-du-tuto-epuré.mp4. À partir de la, facile de récupérer gratuitement toutes les videos

Sur certains forums (15-18 pour pas le citer) on pouvait trouver la même chose avec un lien à partager, sauf que l'id était sauvegardé dans un cookie.

/!/ Blague de mauvais goût /!/
ROB, t'as pas une petite upgrade du canon à baffes à nous proposer en rapport avec l'anecdote ?
/!/ Fin de la blague de mauvais goût /!/

<blague class="perverse">J'ai un très gros canon si tu veux :p</blague>

(je sais pas si t'avais compris, alors dans le doute j'explique)
Je pensais à une variante des baffes (ou plus précisément, des gifles)...

(l'alerte /!/ Blague de mauvais goût /!/ tient toujours)

EDIT : Je suis en train de m'enfoncer mais bon.

j'ai compris... Malheureusement.

Je ne savais pas si je pouvais donner l'url, et j'ai essayé d'envoyer un mail pour prévenir (si si, par honnêteté, après m'être servi :p ) ; c'est très amateur, mais bon, je la trouve jolie moi.
http://secretvanille.free.fr/videos/

Ouais mais franchement les vidéos ne valent pas un allopass selon moi. En tout cas c'est gentil d'avoir envoyer un mail, c'est à saluer.

Tu veux dire qu'on peut facilement contourner un index.htm et lister malgré tout ?

Zut, ça fait partie de ma panoplie de "sécurisation" (c'est un grand mot) de sites simples. Comment s'en prémunir ? Comment font les autres pour le contourner ?

@Aaargh : déjà il y a une option dans apache pour désactiver le listage des fichiers. J'ai plus le nom en tête mais tout le monde n'est pas sur apache et tout le monde n'a pas accès à la config ou
l'autorisation pour faire un htaccess.

Après tout dépends de l'arborescence. Dans l'exemple que j'ai donné tu peux faire ce que tu veux, les url directes des videos sont hyper faciles à trouver et pas vraiment sécurisables

Ah oui j'suis d'accord, je ne payerais clairement pas pour, mais j'aime bien le bug quand même.
Cela dit, je pense que le bug sera bientôt réparé, vu que la page d'accueil du site est fonctionnelle maintenant, et ne permet plus d'accéder au dossier vidéos (même si la page vidéos est toujours accessible via le lien). Passerait-elle sur Pebkac, ou est-ce que quelqu'un d'autre lui aura envoyé un mail qu'elle aura lu cette fois? Mystère :o)

Vite, wget http://secretvanille.free.fr/videos/ -r avant que ce soir corrigé!

Mais... c'est ma copine !

Tu sais, il y a un mois entre la soumission d'un pebkac et sa lecture. Elle a donc eu un mois pour corriger...

Oui, enfin, dans le cas présent, il faut avoir envie de perdre du temps pour le résultat (en considérant qu'il y ait un index.htm ou conf apache). Je met aussi listing_directory denied, mais comme on m'a dit que c'était pas forcément fiable (et parait-il contournable), je rajoute un index.htm malgré tout. C'est pourquoi j'aimerais bien savoir si c'est utile et efficace, ou pas.

ROB : tu ne vas pas dire que tu viens seulement de comprendre quand même?

Banon : dans quoi veux-tu donc t'enfoncer ici?

Tu es bien sympa de lui avoir envoyé un mail !

Bon par contre elle est légèrement idiote quand même. Pas pour le fait de ne pas savoir, mais simplement pour le fait que quand on ne sait pas... On fait pas. Ou on demande à quelqu'un. Ou on paye quelqu'un pour le faire.

edit : jolie oui, mais les marques de bronzage c'est moyen...

Bon, tu as volé mon idée, alors je dirais :
"Hééé, mais c'est la copine a... a... Aaaaarrrrgggghhhh !!!!"


->[]

Elle a free, il a tout compris.

trouvé tout simplement :
entrez les bons mots clés sur ggle, en demandant simplement le domaine du fai;
c'est la premiere page, le site est vite reconaissable (allopass)...
maintenant jpasse pour un con ><
ya juste 'vx' dedans....

merde, jsuis tombé sur le mauvais site;.mais qui a fait exactement la meme boulette :p

bon, les videos sont pas fameuses, souvent on voit bien qu'elle elle seule pour gérer la cam, y a des fautes d'orthographes et mettre accueil.html pour page de "home" ... lol

Enfin, on lui a signalé, qu'elle ne se fasse pas "blonde" (entre "", j'adore aussi les blondes)

et qu'elle se prenne un vrai hébergeur en www ....

A ce jour on a toujours accès .... :)

@Aaargh : je prends l'exemple du PEBKAC.
Apache affiche la liste des fichiers. La directive listing_directory empêche cela et affichera un message apache ce qui donne des infos sur le système.
Avec un index.htm déjà apache n'a pas l'occasion de lister le dossier vu qu'un fichier par défaut existe, ensuite tu n'as pas de message apache donc "plus sûr"

Après il faut que tes noms de fichiers ne soient pas facilement identifiables genre un hash , mais ça complique un peu la maintenance. Va faire la différence entre bb3dgvdi27xv.mp4 et kqovdvh7x52v.mp4 sûr ton serveur ...

Dans tous les cas tu ne gère pas les droits d'accès aux fichiers.

Ouais mais hier, avant que je mette l'url, la page http://secretvanille.free.fr indiquait toujours les répertoires du site. Ce qui est étrange, c'est qu'elle ne corrige pas la page vidéo.

Ah, OK, donc ma méthode n'est pas si stupide que ça, OUF. Je ne suis pas un spécialiste en ça, je ne peux donc prétendre (contrairement à ce que certains affirment) donner des leçons sur ça, par contre, j'en prends volontiers ;)

@Aaargh : tout dépends de ce que tu veux faire, la méthode que je viens de donner empêche de trouver facilement les urls mais si google peut les référencer, l'internaute peut les ressortir avec un inurl

ça dépends aussi de ce que tu veux protéger.
Pour des pages, une simple gestion d'utilisateurs suffit
Pour des images, tu peux appeler un script php au lieu de l'image, et c'est lui qui vérifiera si l'utilisateur à les droits d'accès
Pour une vidéo, c'est plus chaud à cause de la taille des fichiers. php ne peux pas servir de tampon.

La solution simple qu'on à utilisé une fois, c'est de généré la page complète mais si l'utilisateur n'est pas identifié, on utilisé une capture à la place de la vidéo. Comme ça google à quand même accès à la page, il trouve le blabla donc bon pour le référencement mais n'a pas l'url de la vidéo.
par contre les noms de fichier de l'image doit être différent de la vidéo.

je te notifie que tu as une réponse en haut :-)

c'est court 3 niveaux de commentaire...

Ok merci pour ta réponse ;) (ton comm en bas "vous avez une réponse") a été utile :) )

C'est plutôt des sites amateurs ou alors des conseils que me demandent des pros. Je suis plus dans les machines complètes que dans le logiciel, c'est pourquoi je ne connais pas tout, loin de là. Quant aux protections, c'est plus pour empêcher des yeux non autorisés à regarder que est le script employé, afin de baisser les possibilités de piratage par identification des erreurs à employer. Donc c'est pas non plus du très sensible. Mais on aime bien avoir son site qui reste en ligne sans "défaçage"...

@Aaargh!!! : ne serai ce que pour ne pas donner d'infos aux concurrents locaux... C'est ce qu'on faisait dans mon ancienne boite. Toutes les autres agences web faisaient leur sites à la main et à l'arrache. Résultats des sites plus cher car plus de temps de développement, buggés... Alors qu'un déploiement de cms est beaucoup plus rapide, tu as un lot de fonctionnalités d'origine et tu as accès à tout un panel d'extensions supplémentaires

Alors devant la paresse des autres à chercher à faire mieux, on se protège.

Après en fouillant le html, tu arrives à trouver des infos pour identifier le cms, mais il faut se donner la peine de chercher un peu

À ça-y-est c'est corrigé.

Réactivité quand tu nous tiens.

N'empêche ça a du lui faire de la pub...

Et pourtant, on ne peux plus récupérer les .flv ;)

Pas eu le temps de tout récupérer. Mais bon je me doutait bien que quelqu'un la préviendrais.

Corrige, c'est vite dis, j'ai ete voir la racine, il y avais un dossier Admin, ca ma demander un mot de passe, j'ai tape admin et ... magie ... http://i.imgur.com/W9ETX6r.png ...

Tu as oublié that's what she said dans ta parenthèse.