Aller au contenu

lien vers une page protégée par htaccess

cello45
 Partager

Sujets conseillés

  • Message populaire.
cello45

cello45

Posté
  • Auteur
  • Message populaire.
Posté

Quel serait l'intérêt de faire ce type de lien? autant ne pas protéger par le htaccess

La page contenant ce futur lien est elle-même dans un répertoire protégé par htaccess ; le but serait d'éviter à l'utilisateur de taper un login et un pass pour accéder à ma page, puis un autre login/pass pour accéder à la page visée par mon lien.

  • Vote 1
Dadou

Dadou

Posté
Posté

Si les deux pages sont dans le même dossier, une fois le login et le mot de passe demandé une fois (et validé), ce n'est plus du tout redemandé.

Mettre un login et un pass dans une url est une aberration au niveau de la sécurité

  • Message populaire.
cello45

cello45

Posté
  • Auteur
  • Message populaire.
Posté

Je sais bien qu'il est inutile de répéter login/pass tant qu'on est dans le même répertoire. Le problème est d'aller sur un autre site, avec un autre couple login/pass. C'est faisable sous Firefox.

Mon lien se trouvant dans une page, elle-même protégée par htaccess, ne devrait pas poser de pb de sécurité. Je peux même fabriquer ma balise <a... par concaténation pour la rendre moins accessible aux spameurs et autres pirates automatiques.

Est-ce vraiment impossible sous IE7 ?

  • Vote 1
Dadou

Dadou

Posté
Posté

Mon lien se trouvant dans une page, elle-même protégée par htaccess, ne devrait pas poser de pb de sécurité.

Bien sûr que si cela pose un énorme problème de sécurité.

cello45

cello45

Posté
  • Auteur
Posté

Bien sûr que si cela pose un énorme problème de sécurité.

Quel que soit le problème de sécurité, est-ce faisable ou non sous IE7, et si oui comment ?

Patrick

Patrick

Posté
Posté

Comment dire ...

A partir du moment où les identifiants se trouvent dans un lien hypertexte, même si ce lien est sur une page dont l'accès est protégé par un .htaccess, il est très simple d'intercepter les identifiants en question. Donc comme te le répète Dadou, non ce n'est pas sécurisé !

La seule solution pour sécurisé la transmission des identifiants, en plus du .htaccess, serait de mettre en place un SSL avec une vérification du style, si on n'est pas en SSL le lien est inactif. Et encore ça ne serait pas tip top.

Maintenant, tu sembles te moquer éperdument des problèmes de sécurité puisque tu dis "Quel que soit le problème de sécurité ..." tu sembles absolument tenir à le faire, alors autant pas t'emmerder avec un .htaccess. Quitte à ne faire les choses qu'à moitié, autant ne pas les faire du tout et cela résoudra ton problème. Enlève ta protection .htaccess sur le deuxième site et le tour est joué. Tu pourrais tout aussi bien la remplacer par une identification via un formulaire, ce qui te permettrai d'approcher plus facilement ce que tu souhaites tant faire. Bien que je te le déconseille fortement pour des raisons de sécurité.

Bon courage.

++

Patrick

cello45

cello45

Posté
  • Auteur
Posté

Merci pour ce message très explicite sur les problèmes de sécurité.

En fait, le site visé est celui d'un ami qui n'a pas l'intention de changer de système de protection.

Plutôt que de conseiller aux visiteurs de ma page protégée (pour laquelle ils ont déjà fourni login et pass) d'aller sur l'autre site entrer un nouveau couple login/pass, je souhaite, par ce lien, les envoyer directement dans la partie protégée.

Cela se passe très bien avec Firefox. Est-ce vraiment impossible avec IE7 ?

Patrick

Patrick

Posté
Posté

Re,

présenté comme ça je comprend mieux.

Si j'étais ton amis, je te demanderai de ne pas faire ça, au risque de nous fâcher sérieusement ... Mais bon c'est toi qui juge.

A ma connaissance, je ne suis pas spécialiste, je m'étais déjà penché sur ce problème et il semble que IE ne permette pas ce genre de manipulation par défaut pour des raisons ... de sécurité, notamment pour éviter le spoofing.

Il existe cependant une possibilité de le faire en modifiant la configuration par défaut d'IE dans la base de registre du PC. Se qui signifie que tous les utilisateurs devront modifier leur base de registre sous Windows ... Pas sur que tu trouves beaucoup de candidat pour le faire ...

++

Patrick

  • Message populaire.
cello45

cello45

Posté
  • Auteur
  • Message populaire.
Posté

Merci pour cette réponse définitive.

Je ne vais plus vous déranger avec cette question.

  • Vote 1
BonBackLink

BonBackLink

Posté
Posté

Peut être faut t'il voir plutôt du coté des sessions ?

A partir du moment où les identifiants se trouvent dans un lien hypertexte, même si ce lien est sur une page dont l'accès est protégé par un .htaccess, il est très simple d'intercepter les identifiants en question

Comment ? Avec un sniffeur ?

Dadou

Dadou

Posté
Posté

Les urls sont facilement interceptable, mais au delà d'un sniffer, les firewalls / routeurs tracent les urls. Si tu te connecte à un point d'accès wifi (ou tout point d'accès internet) qui n'est pas le tien, l'url sera dans les logs du point d'accès.

Mais tu peux aussi transmettre l'url par mail à un de tes contacts, en pensant lui donner le lien pour qu'il s'inscrive (beaucoup d'utilisateurs n'auront même pas remarqué qu'ils ont transmis leurs identifiants en même temps).

Et d'un site à l'autre les sessions ne fonctionnerons pas.

Veuillez vous connecter pour commenter

Vous pourrez laisser un commentaire après vous êtes connecté.



Connectez-vous maintenant
 Partager
Aller sur la liste des sujets
×
×
  • Créer...