Aller au contenu

Proteger une page web

ZeDevil
 Partager

Sujets conseillés

ZeDevil

ZeDevil

Posté
Posté

Bonjour tout le monde,

Je souhaite proteger une ou plusieurs pages web, avec mdp.

Je cherche le mieux moyen de les proteger avec ou sans db. Mais je prefererai sans.

Quelle est donc la meilleure solution ?

Lien vers le commentaire
Partager sur d’autres sites
xpatval

xpatval

Posté
Posté

Bonjour,

.htaccess et .htpasswrd pour protéger une page ou un répertoire, si c'est cela que tu souhaites...

A moins que tu n'évoques un autre type de protection ? (contre quoi ?)

xpatval

Lien vers le commentaire
Partager sur d’autres sites
xpatval

xpatval

Posté
Posté

Alors la lecture de l'article, donné par NorSeb te sera utile.

Il suffit de placer un fichier .htaccess avec les bonnes indications, et un autre, .htpasswrd, contenant ton identifiant et un mot de passe (la plupart du temps crypté par md5, voir les outils du hub).

xpatval

Lien vers le commentaire
Partager sur d’autres sites
ozmonitor

ozmonitor

Posté
Posté

Effectivement, le meilleur moyen de proteger un répertoire est .htaccess

Avec le javascript le contenu est dèjà livré par le serveur web ! alors ... pas de protection :-(

==> .htaccess simple et efficace :-)

Lien vers le commentaire
Partager sur d’autres sites
Denis

Denis

Posté
Posté

Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL?

J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets?

Lien vers le commentaire
Partager sur d’autres sites
ozmonitor

ozmonitor

Posté
Posté
Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL?

J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets?

<{POST_SNAPBACK}>

Attention, il faut mettre seulement le .htaccess dans la directory htdocs

Et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple)

On met seulement le chemain du .htpasswd dans le .htacess.

Come cela, on est protégé :)

Lien vers le commentaire
Partager sur d’autres sites
Denis

Denis

Posté
Posté
Attention, il faut mettre seulement le .htaccess dans la directory htdocs et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple) On met seulement le chemain du .htpasswd dans le .htacess.

Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ... :blink:

J'ai mal compris? :blush:

Lien vers le commentaire
Partager sur d’autres sites
Denis

Denis

Posté
Posté
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

Ah parfait. Merci Sébastien pour la confirmation. Si c'est ce que je reçois sur mon propre serveur et que je n'ai rien fait de particulier pour le protéger, alors ce comportement est probablement valable partout... ^_^

Lien vers le commentaire
Partager sur d’autres sites
ozmonitor

ozmonitor

Posté
Posté
Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ...  :blink:

Non, le serveur web ne partage (sauf bug ou trou de sécurité) que la directory web (htdocs par défaut avec apache) donc pas le système complet (sinon il partagerait aussi le /etc/password !)

Il faut mettre le .htpasswd hors le protocole http c-a-d hors le htdocs.

Lien vers le commentaire
Partager sur d’autres sites
ozmonitor

ozmonitor

Posté
Posté
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

<{POST_SNAPBACK}>

En théorie, mais ... vaut mieux ne pas facilité la vie aux hackers en mettant tous les oeufs dans le même panier !

Lien vers le commentaire
Partager sur d’autres sites
Denis

Denis

Posté
Posté

Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL? :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

Lien vers le commentaire
Partager sur d’autres sites
NorSeb

NorSeb

Posté
Posté

Bonjour,

Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL?  :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

<{POST_SNAPBACK}>

Placer le .htpasswd dans un autre dossier constitue simplement une précaution supplémentaire... Il ne sera pas accessible par un navigateur s'il est dans les dossiers "web" mais il pourrat peut-etre être récupéré par un pirate ayant un accès ftp. Alors que ce sera plus compliqué si le fichier est ailleurs.

Lien vers le commentaire
Partager sur d’autres sites
ozmonitor

ozmonitor

Posté
Posté
Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL?  :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

<{POST_SNAPBACK}>

Certes, mais c'est fortement utile dans le cas où le AuthUserFile est un fichier du type .txt (n'est pas caché).

Utile aussi dans le cas où, on rencontre un bug ==> on ne met pas tous les oeufs dans le même panier !

Lien vers le commentaire
Partager sur d’autres sites
petit-ourson

petit-ourson

Posté
Posté (modifié)
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

<{POST_SNAPBACK}>

Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ?

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Donc .htacces, .htpasswd, .htmagrandmere, etc etc

Modifié par petit-ourson
Lien vers le commentaire
Partager sur d’autres sites
Denis

Denis

Posté
Posté
Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ?

Donc que la configuration par défaut d'Apache veille à protéger ces types de fichiers?

Lien vers le commentaire
Partager sur d’autres sites
  • 4 semaines plus tard...
ZeDevil

ZeDevil

Posté
  • Auteur
Posté

reBonjour,

Je reviens sur ce message, pour savoir si il est possible de modifier le mdp facilement.

Car il faudrait que ca le soit, par exemple par une petite interface.

La protection par .htacces demande juste un mdp ou aussi un login ?

Lien vers le commentaire
Partager sur d’autres sites

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...