ZeDevil Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Bonjour tout le monde, Je souhaite proteger une ou plusieurs pages web, avec mdp. Je cherche le mieux moyen de les proteger avec ou sans db. Mais je prefererai sans. Quelle est donc la meilleure solution ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
NorSeb Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Bonjour, La lecture de cet article te sera certainement très utile Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sebastien Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 via .htaccess : http://www.commentcamarche.net/apache/apacht.php3 Lien vers le commentaire Partager sur d’autres sites More sharing options...
xpatval Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Bonjour, .htaccess et .htpasswrd pour protéger une page ou un répertoire, si c'est cela que tu souhaites... A moins que tu n'évoques un autre type de protection ? (contre quoi ?) xpatval Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZeDevil Posté 12 Janvier 2006 Auteur Partager Posté 12 Janvier 2006 Je veux que lorsque l'on veut acceder aux pages sécurisées, il me demande un mot de passe. Lien vers le commentaire Partager sur d’autres sites More sharing options...
xpatval Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Alors la lecture de l'article, donné par NorSeb te sera utile. Il suffit de placer un fichier .htaccess avec les bonnes indications, et un autre, .htpasswrd, contenant ton identifiant et un mot de passe (la plupart du temps crypté par md5, voir les outils du hub). xpatval Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZeDevil Posté 12 Janvier 2006 Auteur Partager Posté 12 Janvier 2006 Merci, j'étais en train de le lire justement. Il existe aussi une protection par JS, du moins je crois.......!! Non ? Merci de votre aide....... Lien vers le commentaire Partager sur d’autres sites More sharing options...
MS-DOS_1991 Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 :!::!: Les protections par JavaScript ne sont pas des protections :!::!: Il suffit en effet de désactiver le JavaScript pour afficher la page souhaitée Lien vers le commentaire Partager sur d’autres sites More sharing options...
ozmonitor Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Effectivement, le meilleur moyen de proteger un répertoire est .htaccess Avec le javascript le contenu est dèjà livré par le serveur web ! alors ... pas de protection :-( ==> .htaccess simple et efficace :-) Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZeDevil Posté 12 Janvier 2006 Auteur Partager Posté 12 Janvier 2006 Ok merci ! J'me doutais bien de la validité du JS. Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL? J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets? Lien vers le commentaire Partager sur d’autres sites More sharing options...
ozmonitor Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL? J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets? <{POST_SNAPBACK}> Attention, il faut mettre seulement le .htaccess dans la directory htdocs Et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple) On met seulement le chemain du .htpasswd dans le .htacess. Come cela, on est protégé Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sebastien Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden). Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Attention, il faut mettre seulement le .htaccess dans la directory htdocs et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple) On met seulement le chemain du .htpasswd dans le .htacess. Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ... J'ai mal compris? Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden). Ah parfait. Merci Sébastien pour la confirmation. Si c'est ce que je reçois sur mon propre serveur et que je n'ai rien fait de particulier pour le protéger, alors ce comportement est probablement valable partout... Lien vers le commentaire Partager sur d’autres sites More sharing options...
ozmonitor Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ... Non, le serveur web ne partage (sauf bug ou trou de sécurité) que la directory web (htdocs par défaut avec apache) donc pas le système complet (sinon il partagerait aussi le /etc/password !) Il faut mettre le .htpasswd hors le protocole http c-a-d hors le htdocs. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ozmonitor Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden). <{POST_SNAPBACK}> En théorie, mais ... vaut mieux ne pas facilité la vie aux hackers en mettant tous les oeufs dans le même panier ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL? Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403? Lien vers le commentaire Partager sur d’autres sites More sharing options...
NorSeb Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Bonjour, Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL? Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403? <{POST_SNAPBACK}> Placer le .htpasswd dans un autre dossier constitue simplement une précaution supplémentaire... Il ne sera pas accessible par un navigateur s'il est dans les dossiers "web" mais il pourrat peut-etre être récupéré par un pirate ayant un accès ftp. Alors que ce sera plus compliqué si le fichier est ailleurs. Lien vers le commentaire Partager sur d’autres sites More sharing options...
ozmonitor Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL? Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403? <{POST_SNAPBACK}> Certes, mais c'est fortement utile dans le cas où le AuthUserFile est un fichier du type .txt (n'est pas caché). Utile aussi dans le cas où, on rencontre un bug ==> on ne met pas tous les oeufs dans le même panier ! Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Ok, je suis convaincu. Après tout, mieux vaut prévenir que guérir, et mettre toutes les chances de son côté. Lien vers le commentaire Partager sur d’autres sites More sharing options...
petit-ourson Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 (modifié) Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden). <{POST_SNAPBACK}> Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ? <Files ~ "^\.ht"> Order allow,deny Deny from all Satisfy All</Files> Donc .htacces, .htpasswd, .htmagrandmere, etc etc Modifié 12 Janvier 2006 par petit-ourson Lien vers le commentaire Partager sur d’autres sites More sharing options...
Denis Posté 12 Janvier 2006 Partager Posté 12 Janvier 2006 Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ? Donc que la configuration par défaut d'Apache veille à protéger ces types de fichiers? Lien vers le commentaire Partager sur d’autres sites More sharing options...
ZeDevil Posté 6 Février 2006 Auteur Partager Posté 6 Février 2006 reBonjour, Je reviens sur ce message, pour savoir si il est possible de modifier le mdp facilement. Car il faudrait que ca le soit, par exemple par une petite interface. La protection par .htacces demande juste un mdp ou aussi un login ? Lien vers le commentaire Partager sur d’autres sites More sharing options...
xpatval Posté 6 Février 2006 Partager Posté 6 Février 2006 Mot de passe ET identifiant xpatval Lien vers le commentaire Partager sur d’autres sites More sharing options...
Sujets conseillés
Veuillez vous connecter pour commenter
Vous pourrez laisser un commentaire après vous êtes connecté.
Connectez-vous maintenant