protection d'acces a certains fichiers

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par Antoine.B, 21 Août 2007.

  1. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    Bonjour tout le monde,

    Tout d'abord, veuillez m'escuser pour les accents, je suis sur un clavier qwerty.

    Donc voila je vous expose mon probleme :

    En resume, je travaille sur le dev d'un site php/mysql, de formation en ligne, qui propose des formation "a la carte", c'est a dire que lorsque l'utilisateur s'inscit, il choisis ses cours dans le formulaire, ensuite un mail lui est envoye pour acceder a ses cours, avec un lien du type :

    -http://www.example.com/cours.php?idsess=..............................

    Ce qui va s'en dire qu'il y a plusieurs formation possible, mais une seule formation est accessible par user.

    Les formation ne sont pas protegee par mot de passe, l'acces est seulement restreint et choisis grace a l'id de session de l'utilisateur.

    Les formations sont en format HTML, et en format pdf.

    C'est la que je bloque :

    les fichiers pdf sont tous stockes dans un dossier a la racine nomme "pdf_files".

    Lorsque l'on se trouve dans une formation HTML, on a un lien pour telecharger la formation au format pdf du type : -http://www.example.com/pdf_files/formation_1.pdf

    ma question est la suivante :

    Comment proteger sans l'aide de mot de passe l'acces au telechargement des autre fichiers pdf relatifs au autres formation. Parcque, pour l'user, il serait facile de tapper dans son navigateur :

    -http://www.example.com/pdf_files/formation_2.pdf
    -http://www.example.com/pdf_files/formation_3.pdf
    .....

    pour telecharger tous les pdf relatifs aux autres formations.

    J'avais pense a nommer les fichiers pdf du type indevinable, par exemple "adjwnq3ni540jrn34n34b.pdf" mais je pense qu'avec un utilitaire comme flashget et son explorateur de site, il serait facile pour l'user de telecharger carrement le dossier "pdf_files" ......

    j'ai aussi pense a proteger le dossier pdf_files par htacces, et, dans les formation HTML, plutot que d'appeler directement de fichier pdf avec une url du type :

    -http://www.example.com/pdf_files/formation_1.pdf

    appeler une page intermediaire :

    -http://www.example.com/appel_pdf.php

    qui fait la verification de l'id session, qui ensuite va chercher le fichier pdf, qui place le fichier pdf a telecharger dans un dossier pdf_files_tmp temporairement et redirige l'user sur celuici. Mais, comment s'authentifier dans un dossier protege par htacces avec un script php, et comment definir la duree du "temporairement" ?


    Une idee ?? :)
     
  2. erestrebian
    erestrebian WRInaute occasionnel
    Inscrit:
    15 Juin 2007
    Messages:
    411
    J'aime reçus:
    0
    Je pense que l'idée session (ID Session) seule n'est pas une bonne idée s'il y a de l'argent en jeu...

    Imaginons que j'achète une formation, elle me plait énormément parce qu'elle est fournie par example.com qui est très réputée... Je ne connais rien en informatique et qu'est ce que je fais, je file le lien à mon pote avec l'id session...

    Par contre, l'accès avec un id session et une ip complique la chose pour les gens qui ne s'y connaissent pas trop. D'autant plus qu'il est possible de limiter l'accès à des répertoires par rapport aux ip (si je me souviens bien) avec htaccess...

    Pour l'authentification par htaccess avec php, j'ai pas testé mais

    https://www.google.com/search?num=3...=1&q=authentification htaccess en php&spell=1

    pour la durée, un cookie devrait faire l'affaire mais ce n'est pas non plus très sûr... Je travaille souvent avec les bases de données...
     
  3. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    flash get ne peut pas deviner le contenu d'un dossier, il a besoin de lien pour les suivre

    rog
     
  4. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    merci pour cette reponse,

    Pour infos, il n'est pas du tout question d'argent, d'ou le choix plus simple des id session, le cas d'un copie/colle du lien avec l'id session et de la distribution ce lien a petite echelle n'est pas tres grave, au contraire meme, ca fait de la pub.
     
  5. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    donc si je donne le lien :

    -http://www.example.com/pdf_files/

    a flasget, il ne pourra pas afficher le contenu du sossier ?
     
  6. rog
    rog WRInaute passionné
    Inscrit:
    21 Septembre 2006
    Messages:
    1 346
    J'aime reçus:
    0
    ni flashget ni qucun autre programme ne peut deviner le contenu d'un dossier

    tu mets un fichier index vide à l'interieur pour eviter que apache fasse un directory listing et c'est réglé

    rog
     
  7. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    ok super je pensait pas
    merci bien sujet clos
     
  8. KOogar
    KOogar WRInaute accro
    Inscrit:
    16 Novembre 2004
    Messages:
    4 643
    J'aime reçus:
    81
    alors pourquoi mettre une session ? fait en sorte que membre et non membre est acces aux formations si c'est du tout gratuit. Toute tes pages seront indexées par les moteurs. Google indexe aussi les pdf. Puis fait un forum pour discuter des formations et la il faut etre membre pour poster.
     
  9. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    en fait les users recoivent 1 cours par semaine, les sessions c'est pour gerer les "avancements" des differents users dans les formations


    puis a propos du forum c'est pas moi qui fait le cahier des charges, je ne fait juste que de coder les fonctionalites que l'on me demande.

    merci a vous
     
  10. Archaos-JdR
    Archaos-JdR WRInaute discret
    Inscrit:
    20 Septembre 2006
    Messages:
    122
    J'aime reçus:
    0
    Il faut quand même que le parcours du répertoire soit interdit par le serveur web sinon un simple navigateur suffira pour voir le contenu de pdf_files.
     
  11. Leonick
    Leonick WRInaute accro
    Inscrit:
    8 Août 2004
    Messages:
    19 274
    J'aime reçus:
    0
    plus simplement, ajouter
    Code:
    IndexIgnore *
    dans le htaccess. Le mieux étant de le faire dans celui de la racine, comme cela tous les répertoires sont protégés de l'affichage du contenu.
     
  12. Antoine.B
    Antoine.B WRInaute discret
    Inscrit:
    8 Avril 2006
    Messages:
    121
    J'aime reçus:
    0
    OK vais essayer ca merci
     
Chargement...
Similar Threads - protection acces fichiers Forum Date
Protection de fichiers via un .htaccess URL Rewriting et .htaccess 28 Avril 2016
Protection de site web : quel code ajouter dans htaccess ? URL Rewriting et .htaccess 5 Mars 2021
Protection htaccess par IP+mot passe Administration d'un site Web 8 Juin 2016
Protection des dossiers et autres - htaccess Administration d'un site Web 4 Avril 2011
.htaccess protection URL Rewriting et .htaccess 19 Septembre 2010
Protection htaccess mais pas les images comment faire ? URL Rewriting et .htaccess 6 Novembre 2008
Protection des images avec htaccess : Paramétrable ? URL Rewriting et .htaccess 9 Juin 2008
Protection fichier par htaccess URL Rewriting et .htaccess 26 Avril 2008
Htaccess et protection des fichiés partagés ! URL Rewriting et .htaccess 13 Mars 2008
Conseil pour la protection anti-hotlink par .htaccess URL Rewriting et .htaccess 28 Février 2008
Protection accès images externe mais pas en interne URL Rewriting et .htaccess 31 Janvier 2008
Question protection serveur avec htaccess URL Rewriting et .htaccess 8 Février 2007
Protection d'un seul fichier avec un .htaccess URL Rewriting et .htaccess 21 Juillet 2006
Htaccess : Protection d'un sous dossier URL Rewriting et .htaccess 3 Juillet 2006
.htaccess et protection des images URL Rewriting et .htaccess 8 Février 2005
Loi sur la protection du consommateur (California Consumer Privacy Act) Droit du web (juridique, fiscalité...) 18 Novembre 2019
Google Adwords - Protection de marque AdWords 12 Novembre 2019
Texte utilisation cookies et protection des données : pb de duplicate ? Débuter en référencement 8 Janvier 2019
Règlement européen sur la protection des données (RGPD) Droit du web (juridique, fiscalité...) 20 Avril 2018
Suite Réception mail Google protection de données Google Analytics 12 Avril 2018