Forum : Lws & Hebergeur-discount

Hébergement web, nom de domaine et serveur dédié.

Code .htaccess : mise en garde

Ici vous pouvez poser vos questions techniques, les problemes que vous rencontrez (publication de votre site, configuration dns des domaines...)
Avatar de l’utilisateur
Lionel_R
Débutant
Débutant
Messages : 4
Localisation : Annonay (07)
Contact :

jeu. mars 23, 2023 11:14 am  

Bonjour.

LWS est en train de dépatouiller une embrouille où je me trouve, concernant le code anti-hotlinking(ue), ou plutôt son application qui, chez moi, ne marche pas. Je suppute le cache LWS d'être coupable dans cette histoire mais, bon, ça suit son cours. Hommage au service technique qui a fait ce qu'il a pu (on en est à plus de 40 échanges à ce sujet) et qui tente toujours de trouver une soluce – sans succès pour le moment.

Mais là n'est pas le but de ce message. Au cours de nos échanges, un technicien m'a proposé un site qui génère du code anti-hotmachin. Sauf que le code généré contient une bourde monumentale qui peut planter un site.

Voici le lien, vous pouvez essayer : https://www.htmlbasix.com/generator/dis ... -generator

Or donc, si je demande juste à bloquer les images jpg, gif et png (par exemple), voici le code obtenu :

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?pmcr.fr(/)? [NC]
RewriteRule .* - [F,NC,L]

Vous voyez la couillonnade : la dernière ligne devrait être : RewriteRule \.(jpg|png|gif)$ - [F,NC,L]

En mettant : RewriteRule .* - [F,NC,L] le code bloque TOUS les fichiers (via le joker « * »), html compris. Collez ce code dans votre .htaccess et votre site n'est plus joignable, aucune requête n'aboutit.

J'ai testé des tas de fois, au cas où j'aurais commis une erreur en entrant les paramètres mais non, c'est bien ce f... site qui renvoie du code bancal.

Je vais le signaler dans le prochain échange que j'aurai avec le service technique pour qu'ils ne donnent plus cette adresse.

Avatar de l’utilisateur
Lionel_R
Débutant
Débutant
Messages : 4
Localisation : Annonay (07)
Contact :

sam. mars 25, 2023 9:00 am  

Précision (si des gens sont dans un cas semblable au mien) : c'est ce que je soupçonnais, le code anti-hotbidule marche fort bien quand on désactive le cache LWS.

Quand le cache est actif, il se passe ceci : si j'appelle une image depuis un autre domaine (j'ai un autre domaine, auquel j'ai évidemment accès), le .htaccess fait le boulot et l'image, soit ne s'affiche pas, soit est remplacée par une image de substitution. Si ensuite on appelle la page qui utilise cette image, mauvaise surprise : l'image est aussi remplacée alors que bien entendu elle devrait s'afficher puisque l'appel provient du site qui l'héberge.

La faute est à ce f... cache ! Si on le désactive et qu'on refait le test, tout va bien : dans le cas n°1 (appel depuis un domaine extérieur), l'image est supprimée ou remplacée ; dans le cas n°2 (appel depuis le domaine initial), l'image s'affiche.

Les gens concernés sont prévenus, j'attends un retour du service technique. Trouveront-ils la faille ? Auront-ils envie de la trouver ? J'espère... En attendant, le vol d'images n'est pas un souci premier ; j'ai donc réactivé le cache qui malgré ses défauts accélère l'accès au site, et j'ai supprimé l'anti-hottrucmuche. Quand les deux, cache et protection, fonctionneront ensemble, je la remettrai – si ça arrive un jour !

Avatar de l’utilisateur
Lionel_R
Débutant
Débutant
Messages : 4
Localisation : Annonay (07)
Contact :

dim. mars 26, 2023 7:49 am  

J'ai le résultat de ma demande.

Après plus de 60 messages dans les deux sens, LWS m'apprend que le cache est incompatible avec l'option anti-hotmachin !

D'où quelques remarques.

Comment se fait-il que ces options soient proposées depuis le panneau de commande si elles ne vont pas ensemble ?
Comment se fait-il que les gens de LWS ne sachent pas ça ? Voilà qui aurait évité ce long échange et tout ce temps perdu.

Autre chose. J'ai tenté une incursion chez CloudFlare – suite à la proposition d'un agent de LWS. Et j'apprends (toujours dans cet échange) qu'avec ma formule actuelle, il est impossible d'activer complètement DNSSEC depuis CloudFlare.

Autrement dit (et même si je ne suis pas, loin de là, un maniaque de la sécurité) : en changeant les DNS de LWS pour ceux de CloudFlare, vous passez d'une connexion DNSSEC totale (chez LWS) à une connexion bâtarde, moitié DNSSEC (entre les DNS de CloudFlare et le client), moitié classique (entre les DNS de CloudFlare et le serveur de LWS). Mieux (ou pire) : au bout d'une ou deux heures, CloudFlare désactive entièrement DNSSEC. Dois-je préciser que je me suis enfui de chez eux sans plus attendre ?

Au final, que dire du service d'aide de LWS ? Rien parce que je ne veux pas accabler des gens qui font probablement un boulot difficile. Mais s'ils étaient mieux informés, on gagnerait du temps. Il faudrait aussi revoir le panneau de commande. Quant à la prétendue aide (hors les demandes par échanges), c'est dans les trois-quart des cas un modèle d'inutilité. À quoi sert de détailler comment faire ceci ou cela alors qu'il suffit de cocher deux ou trois cases ? Vous ne me direz pas qu'il faut de l'aide pour activer ou vider le cache LWS ! Il serait plus utile de donner les infos que j'ai pu enfin obtenir sur CloudFlare ou sur l'incompatibilité anti-hottruc et cache LWS.

À part ça, tout va bien.

Avatar de l’utilisateur
Omar LWS
Modérateur
Modérateur
Messages : 93

ven. avr. 14, 2023 2:42 pm  

Bonjour,

Nous sommes constamment en cours d'améliorer les services et de mettre à jour les fonctionnalités pour les adapter aux exigences actuelles

Pour toute question, je vous invite à ouvrir un ticket depuis votre espace client


Bonne journée

  •   Information
  • Qui est en ligne ?

    Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 24 invités