Aller au contenu

Sujets conseillés

Posté

Bonjour,

Si tu veux créer une zone d'administration, et non pas protéger une seule page, tu devrais protéger tout un répertoire.

Ce que tu utilises devrait être répliqué sur chaque page de ta zone, ce qui pourrait très vite s'avérer contraignant.

Je te suggère de lire la publication Le fichier .htaccess dans laquelle la procédure de protection de répertoire est expliquée.

Cordialement,

Dan

Posté

Non, aucun problème dans la mesure où tu choisis des mots de passe qui ne soient pas dans un dictionnaire.

Le mot de passe donné dans le tutoriel du site du zero (kangourou) n'est bien évidemment pas bon !

Posté
qui ne soient pas dans un dictionnaire.

Mets une chaine de caractères entre 6 et 12 caractères, dont des chiffres et des lettres. (moitié moitié, par exemple :) )

Posté

Euh petit rappel quand même : une sécurité basée sur le ".htaccess" est du genre "minimale".

Le mot de passe sera envoyé en clair pour chaque fichier / hit du dossier... ce qui est nettement moins sécurisé qu'un formulaire POST suivi d'une session intégrant un mécanisme pour protéger du vol de session. De plus le mécanisme ".htaccess" n'intègre aucune mesure pour se protéger des brute force.

Bref le .htaccess c'est rigolo quand on débute et bien pratique en dépannage, mais certainement pas à conseiller comme protection.

L'idéal restant dans tous les cas le SSL, évidement.

Posté

D'un coté, tu as raison, la méthode la plus efficace étant encore de ne pas se brancher à internet.

Mais tu reconnaitra que quelqu'un qui se base sur un article qui commence par 'Mais pour la première fois, vous allez pratiquer pour de bon et réaliser votre premier script PHP !', on va pas lui demander les : sessions + bdd + ssl + cookies + post...

Nico. ;)

Posté (modifié)

Je n'ai jamais dit le contraire : c'est bien pratique pour débuter.

Mais quand la personne part d'une zone via formulaire, lui conseiller de faire machine arrière vers du .htaccess tout en affirmant que cela ne pose aucun problème de sécurité, je trouve ça très maladroit.

Modifié par Kioob
Posté (modifié)

Pour ma zone admin je dispose donc d'un .htaccess qui redirige apres acceptation des users vers une page ou y'a un formulaire d'identification et le mdp de se formulaire est crypter dans ma bdd.

Quand pensez-vous ?

Modifié par cyril77
Posté
Quand pensez-vous ?

Quand ? Le matin, uniquement. L'après midi, j'agis :)

Si tu doubles ton htaccess avec un form. de login, alors c'est très bien.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
×
×
  • Créer...