accès répertoire avec mot de passe

[MonWeb]

Bonjour,

Ca marche pas !!! pourtant le code me semble correct

Site chez OVH

Pour protéger l'accès à un répertoire je tente d'utiliser un fichier .htaccess à l'interieur du répertoire à protéger

ErrorDocument 403 http://www.mon-nom-de-domaine.net/accesrefuse.htm
AuthUserFile /www/repertoireprive/.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Accès sécurisé au site sans mot de passe"
AuthType Basic
<LIMIT GET POST>
Require valid-user
</LIMIT>

Le fichier qui contient le mot de passe: .FichierDeMotDePasse son code est:

lemot:depasse

[Dan]

Salut Thierry,

As-tu encodé le mot de passe ?

Tu trouveras l'outil qui va bien dans l'article Le fichier .htaccess

Dan

[MonWeb]

Salut Dan,

Au départ j'avais encodé le mot de passe, mais comme ça marche pas j'ai fait plus simple dans un premier temps et je n'ai pas encodé.

Pourquoi ça marche pas ?

J'ai bien vérifier le chemin /www/repertoireprive/.FichierDeMotDePasse

[MonWeb]

Pour préciser un peu plus le problème

J'ai bien un panneau qui me demande le login et mot de passe (donc le fichier .htaccess fonctionne en partie)

Je rentre le login et mot de passe et le panneau reste affiché comme si le login ou mot de passe étaient mauvais

[Dan]

Salut Thierry,

Je n'avais pas fait attention... comme quoi une deuxième lecture est parfois utile

Pour le AuthUserFile, il faut mettre le chemin complet depuis la racine du serveur Linux, c'est à dire probablement /home/login/www/repertoireprive/.FichierMotDePasse (si cela répond aux hébergements comme ceux d'OVH)

De plus, à part chez Free et Online, il faut que le mot de passe soit encrypté... mais ces deux types d'hébergement nécessitent une syntaxe particulière (avec PerlSetVar)

Dan

[MonWeb]

Salut Dan,

C'est bon ça marche c'était le chemin du fichier .FichierMotDePasse qui n'étais pas bon.

Merci pour la solution

Dernière question:

Au niveau de la sécurité, rien n'est inviolable mais est ce qu'on peut considéré la sécurité de ce répertoire comme convenable si on utilise cette méthode ?

[Dan]

Salut Thierry,

Perso, je mets toujours les fichiers mots de passe en dehors de l'espace www.

Tu pourrais par exemple le mettre dans le répertoire /home/login.

Comme ça, aucun risque que ce répertoire (et ce fichier) soit accédé par Apache, et donc aucun risque que ce fichier ne soit dévoilé au public.

Ceci d'autant plus que tu as utilisé un nom non standard pour ce fichier qui n'est donc pas protégé par défaut, avec les lignes suivantes du fichier de configuration:

<Files ~ "^\.ht">
    Order allow,deny
    Deny from all
</Files>

Ces lignes protègent les fichiers tels que .htaccess, .htpasswd ou .ht_nimportequoi, mais pas "FichierMotDePasse"

Dan

[MonWeb]

Salut Dan,

Super tout fonctionne

Donc si j'ai bien compris le code suivant est bien dans le fichier de configuration initial et je ne dois pas ajouter ça

<Files ~ "^\.ht">

Order allow,deny

Deny from all

</Files>

J'ai suivi tes conseils et mis le fichier .htpasswd en dehors du répertoire /home/www/

Comme ça mon répertoire /home/www/repertoireavec mot de passe/ est bien sécurisé ?

[dvilston]

salut salut

ben voila je me retrouve dans le meme cas que thierry je n'arrive pas a faire fonctionner ce fichier .htaccess pourtant je pense que ma config n'est pas mauvaise mais toute critique est la bien venu : config :

-----------------------------------------------------------------------------------------------

AuthUserFile /.htpasswd

AuthGroupFile /dev/null

AuthName "Acces Photos Personnelles"

AuthType Basic

<Limit GET POST>

require valid-user

</Limit>

-----------------------------------------------------------------------------------------------

le fichier .htpasswd est a la racine du site pour ne pas etre dans le meme repertoire

-----------------------------------------------------------------------------------------------

Pour en etre sure vous pouvez tester en direct sur mon site :

Dv!L$ToN-WeB

dans l'espace membres une zone de photos protégés

-----------------------------------------------------------------------------------------------