Aller au contenu

Proteger une page web

ZeDevil
 Partager

Sujets conseillés

ZeDevil

ZeDevil

Posté
Posté

Bonjour tout le monde,

Je souhaite proteger une ou plusieurs pages web, avec mdp.

Je cherche le mieux moyen de les proteger avec ou sans db. Mais je prefererai sans.

Quelle est donc la meilleure solution ?

xpatval

xpatval

Posté
Posté

Bonjour,

.htaccess et .htpasswrd pour protéger une page ou un répertoire, si c'est cela que tu souhaites...

A moins que tu n'évoques un autre type de protection ? (contre quoi ?)

xpatval

xpatval

xpatval

Posté
Posté

Alors la lecture de l'article, donné par NorSeb te sera utile.

Il suffit de placer un fichier .htaccess avec les bonnes indications, et un autre, .htpasswrd, contenant ton identifiant et un mot de passe (la plupart du temps crypté par md5, voir les outils du hub).

xpatval

ZeDevil

ZeDevil

Posté
  • Auteur
Posté

Merci, j'étais en train de le lire justement.

Il existe aussi une protection par JS, du moins je crois.......!! Non ?

Merci de votre aide.......

MS-DOS_1991

MS-DOS_1991

Posté
Posté

:!::!: Les protections par JavaScript ne sont pas des protections :!::!:

Il suffit en effet de désactiver le JavaScript pour afficher la page souhaitée ;)

ozmonitor

ozmonitor

Posté
Posté

Effectivement, le meilleur moyen de proteger un répertoire est .htaccess

Avec le javascript le contenu est dèjà livré par le serveur web ! alors ... pas de protection :-(

==> .htaccess simple et efficace :-)

Denis

Denis

Posté
Posté

Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL?

J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets?

ozmonitor

ozmonitor

Posté
Posté
Une question me trotte en tête depuis un moment à propos des .htaccess et .htpassword justement... c'est pas un peu facile d'aller les récupérer en saisissant leurs adresses en dur dans l'URL?

J'ai essayé sur mon propre serveur, et ça me semble impossible, mais est-ce théoriquement possible sur un serveur ou ce type de fichiers ne seraient pas à priori protégés contre les regards indiscrets?

<{POST_SNAPBACK}>

Attention, il faut mettre seulement le .htaccess dans la directory htdocs

Et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple)

On met seulement le chemain du .htpasswd dans le .htacess.

Come cela, on est protégé :)

Sebastien

Sebastien

Posté
Posté

Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

Denis

Denis

Posté
Posté
Attention, il faut mettre seulement le .htaccess dans la directory htdocs et .... le .htpasswd ailleurs (dans les /home ou les /etc par exemple) On met seulement le chemain du .htpasswd dans le .htacess.

Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ... :blink:

J'ai mal compris? :blush:

Denis

Denis

Posté
Posté
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

Ah parfait. Merci Sébastien pour la confirmation. Si c'est ce que je reçois sur mon propre serveur et que je n'ai rien fait de particulier pour le protéger, alors ce comportement est probablement valable partout... ^_^

ozmonitor

ozmonitor

Posté
Posté
Il y a certainement un truc qui m'échappe car si (théoriquement) c'est effectivement possible d'aller récupérer le .htaccess via le navigateur, rien de plus facile que de retrouver le .password par la suite, peu importe où il se trouve, si sa localisation est inscrite dans le .htaccess ...  :blink:

Non, le serveur web ne partage (sauf bug ou trou de sécurité) que la directory web (htdocs par défaut avec apache) donc pas le système complet (sinon il partagerait aussi le /etc/password !)

Il faut mettre le .htpasswd hors le protocole http c-a-d hors le htdocs.

ozmonitor

ozmonitor

Posté
Posté
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

<{POST_SNAPBACK}>

En théorie, mais ... vaut mieux ne pas facilité la vie aux hackers en mettant tous les oeufs dans le même panier !

Denis

Denis

Posté
Posté

Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL? :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

NorSeb

NorSeb

Posté
Posté

Bonjour,

Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL?  :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

<{POST_SNAPBACK}>

Placer le .htpasswd dans un autre dossier constitue simplement une précaution supplémentaire... Il ne sera pas accessible par un navigateur s'il est dans les dossiers "web" mais il pourrat peut-etre être récupéré par un pirate ayant un accès ftp. Alors que ce sera plus compliqué si le fichier est ailleurs.

ozmonitor

ozmonitor

Posté
Posté
Donc la question est toujours d'actualité... pourquoi est-ce nécessaire de placer les deux fichiers à des endroits différents s'ils ne peuvent être récupérés par l'URL?  :unsure:

Qu'est-ce qu'un hacker pourrait bien faire pour contrer la dynamique serveur d'une 403?

<{POST_SNAPBACK}>

Certes, mais c'est fortement utile dans le cas où le AuthUserFile est un fichier du type .txt (n'est pas caché).

Utile aussi dans le cas où, on rencontre un bug ==> on ne met pas tous les oeufs dans le même panier !

Denis

Denis

Posté
Posté

Ok, je suis convaincu. Après tout, mieux vaut prévenir que guérir, et mettre toutes les chances de son côté. ;)

petit-ourson

petit-ourson

Posté
Posté (modifié)
Le point dans ".htaccess" signifie un fichier caché, et un accès direct retourne une erreur 403 (forbidden).

<{POST_SNAPBACK}>

Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ?

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
    Satisfy All
</Files>

Donc .htacces, .htpasswd, .htmagrandmere, etc etc

Modifié par petit-ourson
Denis

Denis

Posté
Posté
Il ne me semble pas que le fait que le fichier soit caché interdit l'accès au fichier, c'est plutot au niveau de la config d'apache qu'il est précisé que .htaccess est un fichier "protégé" non ?

Donc que la configuration par défaut d'Apache veille à protéger ces types de fichiers?

  • 4 semaines plus tard...
ZeDevil

ZeDevil

Posté
  • Auteur
Posté

reBonjour,

Je reviens sur ce message, pour savoir si il est possible de modifier le mdp facilement.

Car il faudrait que ca le soit, par exemple par une petite interface.

La protection par .htacces demande juste un mdp ou aussi un login ?

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...