récupérer le nom de l'un utilisateur htacces

[sauzer]

Bonjour, je souhaiterais savoir comment faire pour récupérer le login et le mot de passe d'un utilisateur après qu'il se soit identifier par htaccess ?

Mon site est en php, existe-t-il une variable précise qui permet de récupérer les identifiants htaccess ?

[Dan]

Salut sauzer, et bienvenue à bord du Hub !

Voici ce qui devrait te convenir

<?php 
    echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";    
    echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";  
?>

cordialement,

Dan

[sauzer]

Merci beau Dan!

[Cariboo]

C'est doublement génial parce que cela vient de me donner une idée pour éviter la double authentification que j'ai à l'heure actuelle sur les modules d'admin de mes sites...

1. Authentification par .htaccess

2. Récupération du login / mot de passe pour authentification par bdd

Merci Dan

[Dan]

Salut Philippe,

En tant qu'admin tu devrais savoir une chose: sur le Hub, il n'y a qu'à demander !

Par exemple, et sans vouloir faire un effet d'annonce, anonymus est occupé à nous concocter quelques petits outils comme un vérificateur d'entêtes http, un visualisateur lynx ... qui seront très bientôt mis gracieusement à disposition pour tous les membres.

On a quelques champions à bord, faut les faire bosser, non ?

A+

Dan

[Monique]

Merci beau Dan!

C'est ton nouveau surnom, Dan ?

[Dan]

C'est ton nouveau surnom, Dan ? 

Non, un connaisseur qui a vu ma photo, c'est tout !

Je pense plutôt que sauzer a du laisser de côté la suite de "beaucoup" , tant qu'il ne l'écrit pas en 2 mots ... - mdr

Dan

[Cariboo]

En tant qu'admin tu devrais savoir une chose: sur le Hub, il n'y a qu'à demander !

Je sais, mais là, en l'occurrence, ce truc m'a juste donné une idée.

Pour demander, il faut avoir la question avant la réponse.

Là j'ai eu la réponse avant la question...

Le vérificateur d'entêtes http et le visualiseur Lynx : que voilà des idées qu'elles sont bonnes

De quoi faire une rubrique outils sympa !

[Siddartha]

C'est vicieux quand même comme truc ..

Cela voudrait-il dire que le .htaccess n'est pas si secure que ca ?

Un script malicieux pourrait alors récupérer ses variables d'environnement à mauvais escient non ? Si oui, je vais peut être réfléchir à deux fois avant de protéger certains dossiers via ces files

[Dan]

Siddartha,

Je ne vois pas où se trouve l'insécurité dans ce cas de figure.

Si tu places un .htaccess pour restreindre les accès à tes pages, c'est que quelque part (dans un script ou une base de données) du stockeras les couples login/mot_de_passe pour valider ou non les accès.

Donc, tu connais ces login/mot_de_passe, non ?

Dans ce cas, qu'ils soient ou non stockés dans des variables serveur ne change rien... a mon avis.

Cariboo,

Tu devrais peut-être t'intéresser au module mod_auth_mysql, qui est un module d'authentification de type http-Basic. Il permet de gérer la base d'utilisateur dans une base de donnée MySQL

Dan

[Anonymus]

Cela voudrait-il dire que le .htaccess n'est pas si secure que ca ?

C'est vicieux, mais c'est malheureusement vrai, la fenetre n'est pas si sûre que ça, et si l'on peut s'en passer, ce n'est pas si mal (à condition de faire les vérifications ailleurs).

Par exemple, et sans vouloir faire un effet d'annonce, ...

Cela aura au moins l'avantage de disposer d'outils en francais

Si vous avez des idées d'outils, c'est peut etre le moment..

Anonymus.

[Siddartha]

Dan,

Oui, effectivement tu les connais, mais le problème se situe entre l'authentification .htacces et la transmission à la base.

A ce moment, là les variables d'environnement sont plus que vulnérables (transite un peu en clair tout ca ) et du coup, il serait possible de les récupérer par une tierce personne mal intentionnée.

En prenant l'hypothèse qu'avant l'authentification .htacces et aprés la validation sql, les variables sont vides et vidées ensuites.

Donc c'est un gros bordel finalement ..

Super projet Anonymous, on ne vérifiera jamais assez les headers HTTP

Pour la version Lynx, tu t'appuieras sur quelle numéro de version, la dernière ?

Idée : un vérificateur de liens d'une page (ou site) avec numéro d'etat ( 200 OK, 404 Not Found, 301 Moved Permanently, etc.) des headers HTTP ?