WampServer

Bonjour,

J'ai découvert ce petit gratuiciel et voici le rapport qui s'affiche suite à son inspection du fichier httpd.conf de WAMPServer:

-----
TrustSight Security Hardening Tool - Session Details
Paranoid Mode: No


9 recommendation(s)

mod_autoindex.c module
Line: 215
We recommend to disable the mod_autoindex module. This module enables automatic directory indexing.


mod_cgi.c module
Line: 218
Unless absolutely necessary, disable PHP, CGI, SSI and other scripting languages.


mod_php module
Line: 240
Unless absolutely necessary, disable PHP, CGI, SSI and other scripting languages.


php extension
Line: 240
We recommend to add the following line to the Apache configuration file: AddType application/x-httpd-php .inc


php extension
Line: 240
We recommend to add the following line to the Apache configuration file: AddType application/x-httpd-php .class


ServerTokens directive

ServerTokens directive not found. This item is necessary to modify the Apache HTTP response token. You should add ServerTokens ProductOnly. After this change, Apache doesn't disclose information about its version.


ServerSignature directive
Line: 526
It is recommended to modify the ServerSignature directive to ServerSignature Off


Group directive

Group directive not found. See the Apache documentation for details on enabling this directive.
-----

Comme j'ai grandement confiance en vos conseils (particulièrement Bistory et Viper), je ne ferai aucune modification au fichier sans vos impressions d'abord...

Alors, que pensez-vous de ces recommendations? Sont-elles valables et nécessaires?


Merci de votre support!

P.S.: Vous pouvez télécharger ce logiciel à l'adresse suivante: www.syhunt.com, ou sur Webattack.com

héhéhéhé !! lol, merci pour ta confiance

Donc alors, le fou parano c'est Bistory hein Et moi je suis le fou inconscient ! ... Tu risques d'avoir deux avis très opposés

Déjà, le "mod_autoindex", mwé, tu peux le désactiver si tu veux. Ca évite bin le listing du contenu d'un dossier, comme c'est expliqué Donc pourquoi pas !

Les deux suivants "mod_cgi" et "mod_php", faut surtout pas les désactiver, sans ça plus de php !! Ca serait dommage

Ensuite, pour ce qui est des extensions php "class" et "inc" je vois pas bien l'intérêt... C'est jamais de la vie du php ! Donc non, on laisse.

Et le reste, pareil, tu peux laisser... Donc en bref, y'a que "mod_autoindex" qui peut t'être utile de désactiver, si tu veux qu'on ne puisse pas voir le contenu d'un dossier du style : [atviper.free.fr]
Sinon, si tu veux juste empêcher ce genre de listing sur des dossiers précis, tu mets un "index.html" vierge dans le dossier, et ça affichera donc une page vierge ! Bien fait Pour le reste des dossiers ça continuera à faire le listing.

Concernant mod_autoindex, cela ne revient-il pas au même que cette modification que j'ai déjà effectuée dans ce fichier: Option -Indexes ?

Et que penser de: It is recommended to modify the ServerSignature directive to ServerSignature Off? Cela ne concerne-t-il que l'affichage de la version de Apache sur le serveur? Je pourrais donc mettre cela à Off sans risquer de perturber quoi que ce soit, vrai?


Merci à tous!

Pour le mod_autoindex, en effet, ça doit revenir au même, donc tu as déjà bon

Et puis pour le "ServerSignature", à priori c'est bien ce que tu as dit. Donc tu peux le désactiver oui, mais au niveau sécurité je ne vois pas bien ce que ça change, à part donner un peu moins d'informations... Donc bof ! A "On" ou "Off", les gens s'en foutent je crois

Bah c'est comme expose_php dans le php.ini, ça ne sert qu'aux hackers
Merci pour le prog, ça va nous servir pour EasyTools

Bien heureux d'apprendre que ce logiciel pourra vous être utile!

Avec toute l'aide que vous m'avez apportée, ça fait plaisir de constater que pour une fois, je vous aurai peut-être aidé (indirectement!) à mon tour! ;-)

P.S.: Avez -vous une petite idée de l'origine du message d'erreur que je reçois avec ZendOptimizer, tel qu'expliqué dans mon message intitulé: Zend optimizer?