Re: [LA-discussions] Configuration du mod_rewrite sur apache2 ds Wheezy

["Kewl Cat" <kewlcat@xxxxxxx>]

----- Original Message -----

From: Matthieu

Subject: Re: [LA-discussions] Configuration du mod_rewrite sur apache2 ds Wheezy

 

Pour la rapidité : je suis d'accord mais j'aurai voulu savoir (uniquement à titre informatif) vraiment la différence (benchmark)

D'après ce vieil article de 2008, le gain serait de ~6% : http://www.fubra.com/blog/2008/01/07/htaccess-vs-httpdconf/

D'après cet autre article http://knackforge.com/blog/sivaji/how-make-apache-faster-drupal qui ne propose pas de benchmark mais des indications pour améliorer les performances de son Drupal, on peut avoir "le meilleur des deux mondes" en disant, dans la conf d'Apache, qu'il faut aller lire (via un Include) le contenu d'un fichier .htaccess à un endroit précis (donc un unique accès disque à ce fichier, pas forcément dans le DOCROOT, pour ajouter des directives à la volée). Ca me semble être un bon compromis.

 

 

Niveau sécurité : Effectivement, j'avais pas pensé à ce genre de script. C'est le seul soucis de sécurité que ce genre de configuration (fichiers .htaccess) peut poser par rapport à de la configuration Apache ?

 

En fait c'est pas tant le .htaccess qui est dangereux, que les gens qui utilisent l'authentification basique et qui stockent leur .htpasswd dans le DOCROOT (et les gens qui sont sur un serveur mutualisé n'ont pas toujours d'autre choix !). Là ça craint parce qu'on a accès à la liste des users et à un hash de leur mot de passe si on récupère ce fichier. Avec une liste des hash les plus populaires, quelques jeux de devinettes et/ou un coup de force brute, on arrive toujours à retrouver les mots de passe...

 

 =^.^=