Comprendre le Web

Permissions

en lecture, écriture et exécution

Permissions à définir lors de la création d'un dossier sur un serveur.
(Normalement, conserver les valeurs proposées, par défaut)

Sur Internet, ...

Il existe deux types de fichiers :

Est dit exécutable, le fichier qui contient des instructions (exécutables), situé sur la machine chargée de l'exécuter.

Des instructions mises en commentaire ne sont pas exécutables.

Exemple d'exécutable sur un serveur : Un fichier PHP, contenant des instructions PHP, situé dans un dossier d'un serveur capable d'exécuter du PHP.

Un fichier JS contient des instructions. Mais, "classiquement", elles ne sont pas exécutées côté-serveur, mais côté-client (= navigateur web).
NB : Certains serveurs peuvent exécuter du JavaScript ...

Sécurité

Un visiteur d'un site web est considéré comme : "Autre" (appelé ci-dessus "Tout le monde")

Un visiteur d'un site web n'est pas le "Propriétaire" des fichiers (appelé ci-dessus "Utilisateur")

Lecture

Si "tout le monde" ne peut pas lire, aucun fichier ne sera lu (= affiché dans le navigateur web). C'est donc comme si le dossier était vide. Classiquement, cette permission est toujours accordée.

Écriture

Celui qui peut écrire de nouveaux fichiers dans un dossier, peut aussi les supprimer ! En pratique (et logiquement), cette permission n'est jamais accordée à "tout le monde".

Même si cette permission était accordée, "tout le monde" devrait être capable de se connecter au serveur via un protocole de transfert de fichiers, tel que FTP, et devrait donc s'identifier ... Donc, ce ne serait pas encore catastrophique. Mais, ce serait une bonne occasion manquée de sécuriser son site web.

Exécution

Accorder à "tout le monde" la permission d'exécuter est sans conséquence ... si le dossier ne contient aucun fichier exécutable.

Si la permission d'exécution n'est pas accordée à tout le monde, un script PHP ne pourra pas être exécuté par un visiteur d'un site web. Donc, "classiquement", cette autorisation est accordée à "tout le monde".

Sinon il n'y aurait aucun intérêt de disposer du PHP avec sa formule d'hébergement du site. Pas de blog (WordPress, ...), pas de forum (phpBB, ...), pas de wiki (dokuwiki, ...)

Puisque tout le monde peut exécuter du code, la sécurité repose sur la compétence du codeur (= développeur) ... 

propriétaire : Lecture (4) + Écriture (2) + Exécution (1) = 7
groupe       : Lecture (4)                + Exécution (1) = 5
autres       : Lecture (4)                + Exécution (1) = 5

Une permission varie de 0 à 7.
Sur un site web personnel, "propriétaire" et "groupe" sont identiques.

750

Si les permissions d'un dossier sont 750, le public n'a pas accès au contenu de ce dossier.

Si un navigateur web appelle un tel dossier (ou un fichier ou un sous-dossier d'un tel dossier), il recevra une réponse du serveur : 403 Forbidden.

403 indique que l'accès au fichier est interdit (qu'il existe ou pas).
404 indique que le fichier n'existe pas. (not found).