[Top][All Lists]
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [Dolibarr-user] Normal ça ?
|
From: |
Rodolphe Quiedeville |
|
Subject: |
Re: [Dolibarr-user] Normal ça ? |
|
Date: |
Thu, 13 May 2004 11:09:11 +0200 |
|
User-agent: |
KMail/1.5.4 |
On Thursday 13 May 2004 00:17, setcode wrote:
> Le mer 12/05/2004 à 21:42, Fabrice Bardey a écrit :
> > Bonjour à tous,
> >
> > Je viens de remarquer que l'on peut accéder à la liste des factures, des
> > propales, etc ... sans s'authentifier en tapant simplement l'URL du
> > document PDF.
> >
> > Exemple :
> >
> > http://dolibarr.lafrere.net/release/document/propale/PR030001/PR030001.pd
> >f
> >
> > Pour avoir la liste totale, il suffit de lister le répertoire. Exemple :
> >
> > http://dolibarr.lafrere.net/release/document/propale/
> >
> >
> > Et là, tout de suite, de voir que toutes mes factures, sont publiées sur
> > le net, ça me chagrine un peu !!!!
> >
> > Pas vous ?
> >
> > Fabrice
>
> C'est pas très sécu comme ça effectivement.
> Il t'es toujours possible d'injecter dans tous les rep de ton choix un
> fichier index.html vide ou personnalisé pour que cette page s'affiche,
> au lieu d'avoir le contenu des reps. C'est la première chose à faire. Si
> d'autres personnes ont des soluces meilleures qu'ils n'hésitent pas.
Il existe effectivement plusieurs possibilité d'éviter ce problème, mais le
mieux est de modifier le code de Dolibarr pour que les documents ne soients
pas dans le DocumentRoot, c'est ce que je suis entrain d'étudier, cela
evitera aux utilisateurs d'avoir à sécuriser leur système eux-même.
A++