mod_dav.xml.fr revision 4a56677aad9b66a36f3dc9fddbca8dc1230ad471
<?xml version="1.0"?>
<!DOCTYPE modulesynopsis SYSTEM "/style/modulesynopsis.dtd">
<?xml-stylesheet type="text/xsl" href="/style/manual.fr.xsl"?>
<!-- English Revision: 1628084:1673582 (outdated) -->
<!-- French translation : Lucien GENTIS -->
<!-- Reviewed by : Vincent Deffontaines -->
<!--
Licensed to the Apache Software Foundation (ASF) under one or more
contributor license agreements. See the NOTICE file distributed with
this work for additional information regarding copyright ownership.
The ASF licenses this file to You under the Apache License, Version 2.0
(the "License"); you may not use this file except in compliance with
the License. You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<modulesynopsis metafile="mod_dav.xml.meta">
<name>mod_dav</name>
<description>Fonctionnalit&eacute; de cr&eacute;ation et gestion de versions de
documents via le web (<a
href="http://www.webdav.org/">WebDAV</a>)</description>
<status>Extension</status>
<sourcefile>mod_dav.c</sourcefile>
<identifier>dav_module</identifier>
<summary>
<p>Ce module ajoute &agrave; Apache une fonctionnalit&eacute; <a
href="http://www.webdav.org">WebDAV</a> de classes 1 et 2
('Web-based Distributed Authoring and Versioning' ou Cr&eacute;ation et
gestion de versions de documents via le web). Il s'agit d'une
extension du protocole HTTP qui permet de cr&eacute;er, d&eacute;placer, copier et
supprimer des ressources ou collections de ressources sur un serveur
web distant.</p>
</summary>
<seealso><directive module="mod_dav_fs">DavLockDB</directive></seealso>
<seealso><directive module="core">LimitXMLRequestBody</directive></seealso>
<seealso><a href="http://www.webdav.org">Ressources WebDAV</a></seealso>
<section id="example"><title>Activation de WebDAV</title>
<p>Pour activer le module <module>mod_dav</module>, ajoutez la ligne
suivante &agrave; un conteneur de votre fichier <code>httpd.conf</code>
:</p>
<highlight language="config">Dav On</highlight>
<p>Ceci active le fournisseur de syst&egrave;me de fichier DAV impl&eacute;ment&eacute; par
le module <module>mod_dav_fs</module>. Ce dernier doit donc &ecirc;tre
compil&eacute; dans le serveur ou charg&eacute; au d&eacute;marrage &agrave; l'aide de la
directive <directive module="mod_so">LoadModule</directive>.</p>
<p>En outre, vous devez indiquer o&ugrave; se trouve la base de donn&eacute;es des
verrous DAV via une directive <directive
module="mod_dav_fs">DavLockDB</directive> dans la section globale de
votre fichier <code>httpd.conf</code> :</p>
<highlight language="config">
DavLockDB /usr/local/apache2/var/DavLock
</highlight>
<p>Le r&eacute;pertoire contenant le fichier de la base de donn&eacute;es des
verrous doit avoir des droits en &eacute;criture pour l'utilisateur et le
groupe sous lesquels Apache s'ex&eacute;cute et d&eacute;finis respectivement par
les directives <directive module="mod_unixd">User</directive> et
<directive module="mod_unixd">Group</directive>.</p>
<p>Si vous souhaitez limiter l'acc&egrave;s aux r&eacute;pertoires o&ugrave; DAV est
activ&eacute;, vous pouvez ajouter une clause <directive module="core"
type="section">Limit</directive> dans la section <directive
module="core" type="section">Location</directive> consid&eacute;r&eacute;e. Pour
d&eacute;finir la quantit&eacute; maximale de donn&eacute;es en octets qu'un client
DAV peut envoyer par requ&ecirc;te, vous devez utiliser la directive
<directive module="core">LimitXMLRequestBody</directive>, car La
directive <directive module="core">LimitRequestBody</directive>
"habituelle" n'a aucune incidence sur les requ&ecirc;tes DAV.</p>
<example><title>Exemple complet</title>
<highlight language="config">
DavLockDB /usr/local/apache2/var/DavLock
&lt;Directory /usr/local/apache2/htdocs/foo&gt;
Require all granted
Dav On
AuthType Basic
AuthName DAV
AuthUserFile user.passwd
&lt;LimitExcept GET POST OPTIONS&gt;
Require user admin
&lt;/LimitExcept&gt;
&lt;/Directory&gt;
</highlight>
</example>
</section>
<section id="security"><title>Probl&egrave;mes concernant la s&eacute;curit&eacute;</title>
<p>Etant donn&eacute; que les m&eacute;thodes d'acc&egrave;s DAV permettent &agrave; des clients
distants de manipuler des fichiers sur le serveur, vous devez vous
assurer que votre serveur est bien s&eacute;curis&eacute; avant d'activer
<module>mod_dav</module>.</p>
<p>Tout r&eacute;pertoire du serveur o&ugrave; DAV est activ&eacute; doit &ecirc;tre prot&eacute;g&eacute;
par une proc&eacute;dure d'authentification. L'utilisation de
l'authentification HTTP de base n'est pas recommand&eacute;e. Vous devez
utiliser au moins l'authentification HTTP &agrave; base de condens&eacute;s
qu'impl&eacute;mente le module <module>mod_auth_digest</module>.
Pratiquement tous les clients WebDAV supportent cette m&eacute;thode
d'authentification. Vous pouvez aussi utiliser l'authentification de
base sur une connexion o&ugrave; <a href="/ssl/">SSL</a> est activ&eacute;.</p>
<p>Pour que <module>mod_dav</module> puisse manipuler des fichiers,
il doit avoir des permissions en &eacute;criture sur les r&eacute;pertoires et les
fichiers qui sont sous son contr&ocirc;le ; en d'autre termes, c'est
l'utilisateur et le groupe sous lesquels Apache s'ex&eacute;cute et d&eacute;finis
par les directives <directive module="mod_unixd">User</directive> et
<directive module="mod_unixd">Group</directive> qui doivent avoir
les droits en &eacute;criture sur ces fichiers et r&eacute;pertoires. Les fichiers
nouvellement cr&eacute;&eacute;s appartiendront aussi &agrave; ces utilisateur et groupe.
Par cons&eacute;quent, il est important de contr&ocirc;ler l'acc&egrave;s &agrave; ce compte.
Les r&eacute;pertoires DAV sont consid&eacute;r&eacute;s comme priv&eacute;s du point de vue
d'Apache, et la modification des fichiers qu'ils contiennent
autrement que par l'interm&eacute;diaire d'Apache (par exemple par FTP ou
par des outils du niveau du syst&egrave;me de fichiers) ne doit pas &ecirc;tre
permise.</p>
<p><module>mod_dav</module> peut faire l'objet de plusieurs sortes
d'attaques par d&eacute;ni de service. La directive <directive
module="core">LimitXMLRequestBody</directive> permet de limiter la
quantit&eacute; de m&eacute;moire consomm&eacute;e pour interpr&eacute;ter des requ&ecirc;tes DAV de
grande taille. En outre, la directive <directive
module="mod_dav">DavDepthInfinity</directive> permet d'emp&ecirc;cher les
requ&ecirc;tes <code>PROPFIND</code> concernant un r&eacute;pertoire de tr&egrave;s
grande taille de consommer de grandes quantit&eacute;s de m&eacute;moire. Un autre
type d'attaque par d&eacute;ni de service peut aussi &ecirc;tre men&eacute; par un
client qui remplit simplement tout l'espace disque disponible avec
des fichiers de tr&egrave;s grande taille. Etant donn&eacute; qu'il n'existe aucun
moyen direct d'&eacute;viter ce genre d'attaque dans Apache, vous ne devez
accorder des acc&egrave;s DAV qu'&agrave; des utilisateurs de confiance.</p>
</section>
<section id="complex"><title>Configurations complexes</title>
<p>Les requ&ecirc;tes ayant pour but de manipuler des fichiers dynamiques
(scripts PHP, scripts CGI, etc...) en utilisant
<module>mod_dav</module> sont courantes. Ce traitement n'est pas
&eacute;vident car une requ&ecirc;te
<code>GET</code> va toujours tenter d'ex&eacute;cuter le script, plut&ocirc;t que
de t&eacute;l&eacute;charger son contenu. Pour &eacute;viter cet inconv&eacute;nient, une
m&eacute;thode possible consiste &agrave; faire correspondre deux URLs
diff&eacute;rentes au m&ecirc;me contenu, l'une d'entre elles servant &agrave; lancer le
script, alors que l'autre peut &ecirc;tre utilis&eacute;e pour le t&eacute;l&eacute;charger et
le manipuler avec DAV.</p>
<highlight language="config">
Alias /phparea /home/gstein/php_files
Alias /php-source /home/gstein/php_files
&lt;Location /php-source&gt;
Dav On
ForceType text/plain
&lt;/Location&gt;
</highlight>
<p>Avec cette configuration, on peut utiliser
<code>http://example.com/phparea</code> pour afficher le r&eacute;sultat de
l'ex&eacute;cution des scripts PHP, et
<code>http://example.com/php-source</code> pour les manipuler avec
DAV.</p>
</section>
<directivesynopsis>
<name>Dav</name>
<description>Active les m&eacute;thodes HTTP WebDAV</description>
<syntax>Dav On|Off|<var>nom fournisseur</var></syntax>
<default>Dav Off</default>
<contextlist><context>directory</context></contextlist>
<usage>
<p>La directive <directive>Dav</directive> active les
m&eacute;thodes HTTP WebDAV pour le conteneur condid&eacute;r&eacute; :</p>
<highlight language="config">
&lt;Location /foo&gt;
Dav On
&lt;/Location&gt;
</highlight>
<p>La valeur <code>On</code> est en fait un alias vers le
fournisseur par d&eacute;faut <code>filesystem</code> impl&eacute;ment&eacute; par le
module <module>mod_dav_fs</module>. Notez que lorsque DAV est activ&eacute;
pour un conteneur, on <em>ne peut pas</em> le d&eacute;sactiver pour ses
sous-conteneurs. Pour un exemple de configuration complet,
reportez-vous &agrave; la <a href="#example">section pr&eacute;c&eacute;dente</a>.</p>
<note type="warning">
N'activez pas WebDAV tant que votre serveur n'est pas s&eacute;curis&eacute;. Si
vous passez outre cette recommandation, tout le monde pourra
enregistrer des fichiers sur votre syst&egrave;me.
</note>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>DavMinTimeout</name>
<description>Dur&eacute;e minimale pendant laquelle le serveur maintient un
verrou sur une ressource DAV</description>
<syntax>DavMinTimeout <var>secondes</var></syntax>
<default>DavMinTimeout 0</default>
<contextlist><context>server config</context><context>virtual host</context>
<context>directory</context></contextlist>
<usage>
<p>Lorsqu'un client demande le verrouillage d'une ressource DAV, il
peut aussi sp&eacute;cifier une dur&eacute;e au bout de laquelle le verrou sera
automatiquement supprim&eacute; par le serveur. Cette valeur ne constitue
qu'une requ&ecirc;te, et le serveur peut l'ignorer ou informer le client
qu'il va utiliser une valeur arbitraire.</p>
<p>La directive <directive>DavMinTimeout</directive>
sp&eacute;cifie, en secondes, la dur&eacute;e minimale de verrouillage &agrave; renvoyer
au client. Les R&eacute;pertoires Web de Microsoft pr&eacute;sentent une dur&eacute;e par
d&eacute;faut de 120 secondes ; la directive
<directive>DavMinTimeout</directive> permet de d&eacute;finir une valeur
sup&eacute;rieure (par exemple 600 secondes), afin de r&eacute;duire les risques
de perte du verrou par le client suite &agrave; une surcharge du
r&eacute;seau.</p>
<example><title>Exemple</title>
<highlight language="config">
&lt;Location /MSWord&gt;
DavMinTimeout 600
&lt;/Location&gt;
</highlight>
</example>
</usage>
</directivesynopsis>
<directivesynopsis>
<name>DavDepthInfinity</name>
<description>Autorise les requ&ecirc;tes PROPFIND avec en-t&ecirc;te Depth:
Infinity</description>
<syntax>DavDepthInfinity on|off</syntax>
<default>DavDepthInfinity off</default>
<contextlist><context>server config</context><context>virtual host</context>
<context>directory</context></contextlist>
<usage>
<p>La directive <directive>DavDepthInfinity</directive>
autorise le traitement des requ&ecirc;tes <code>PROPFIND</code>
contenant l'en-t&ecirc;te Depth: Infinity. Par d&eacute;faut, ce type de requ&ecirc;te
n'est pas autoris&eacute;, car il peut favoriser les attaques de type D&eacute;ni
de service.</p>
</usage>
</directivesynopsis>
</modulesynopsis>