Selon Michel Verdier <anatole404@xxxxxxxxx>:
Les fichiers .php du site (pas seulement ceux de galette, mais aussi de
joomla et smf, se sont vu "enrichi" d'un en-tête php , différent pour
chaque fichier, mais dont la structure est toujours la même :
Bonjour
Au passage je note que sur certains hébergeurs la fonction parcours de dossier
est possible !! Par exemple sur votre site, il est très facile de connaitre
les
mots de passe temporaires envoyés par galette, ils sont accessibles en clair
depuis votre dossier tempimages sous forme de jpg.
Même si on ne doit pas aller bien loin avec ce mot de passe dont la validité
est
limitée, je pense qu'il faut bloquer ce genre de comportement des serveurs.
Donc
dans tous les dossiers vous incluez un index.php contenant une fonction
d'alerte
ou d'erreur ou de redirection ou d'exit (possible à intégrer dans la
distribution de galette d'ailleurs) soit vous interdisez le parcours de vos
dossiers avec un .htaccess Options -Indexes si votre hébergeur vous le permet.
Re: [Galette-discussion] Page blanche Faille sécuri té possible