Protection via .htpasswd : est-ce suffisant ?

Discussion dans 'Développement d'un site Web ou d'une appli mobile' créé par mr_go, 11 Juillet 2006.

  1. mr_go
    mr_go WRInaute passionné
    Inscrit:
    21 Septembre 2005
    Messages:
    1 688
    J'aime reçus:
    2
    Bonjour,

    ma question peut sembler triviale, mais je me demandais si la seule protection via .htpasswd était suffisante pour protéger une partie d'un intranet multi-utilisateurs possédant chacun un répertoire distinct.

    Qu'en pensez vous ?
     
  2. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    oui, un htaccess protege un répertoire de toute malveillance :) apres c'est moins pratique qu'une session, ca depend de ce que tu veux faire derriere comme suivi de membre (bien que tu puisse recuperer l identifiant tappé dans la fenetre de protection)
     
  3. mr_go
    mr_go WRInaute passionné
    Inscrit:
    21 Septembre 2005
    Messages:
    1 688
    J'aime reçus:
    2
    Eh bien ce ne sera que de la consultation de documents en fait, mais il se peut que j'aie besoin d'un formulaire commun à tous.

    Comment récupérer cet identifiant ?

    Please, ne me dis pas Javascript ! ;)
     
  4. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)

    $PHP_AUTH_PW et $PHP_AUTH_USER
     
  5. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    apparemment sous OVH mutualisé, ca serait ça : $_SERVER['REMOTE_USER']. (source - google) :)
     
  6. mr_go
    mr_go WRInaute passionné
    Inscrit:
    21 Septembre 2005
    Messages:
    1 688
    J'aime reçus:
    2
    bon ca va on va bien s'entendre... ^^

    Merci pour l'astuce, même si je connais bien PHP, je n'avais jamais utilisé ces variables serveur =).

    Bon ben du coup, on peut générer une session en aval ?

    EDIT : Oki au pire je ferai un print_r($_SERVER)....
     
  7. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    oui, du genre
    if (isset($_SERVER['PHP_AUTH_USER']))
    {
    session_start();
    $_SESSION['login']=$PHP_AUTH_USER
    }

    je suppose, jamais testé, mais je vois pas pourquoi cela ne marcherai pas, à moins que ton hebergeur face des siennes (si il aval pas ^^)
    dézolé
     
  8. e-kiwi
    e-kiwi WRInaute accro
    Inscrit:
    23 Décembre 2003
    Messages:
    13 198
    J'aime reçus:
    1
    tiens j'ai trouvé ce script :
    <?php
    if (!isset($_SERVER['PHP_AUTH_USER'])) {
    header('WWW-Authenticate: Basic realm="My Realm"');
    header('HTTP/1.0 401 Unauthorized');
    echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
    exit;
    } else {
    echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
    echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
    }
    ?>
     
  9. mr_go
    mr_go WRInaute passionné
    Inscrit:
    21 Septembre 2005
    Messages:
    1 688
    J'aime reçus:
    2
    Ah ben c'est plus que ce que je n'en demandais : merci bien e-kiwi. ;)
     
  10. julisube
    julisube WRInaute discret
    Inscrit:
    26 Juin 2006
    Messages:
    205
    J'aime reçus:
    0
    Ca dépend si tes utilisateurs ont un accés ftp, si les droits sont mal réglés au niveau du système de fichier, il se peut que les utilisateurs puissent lire les fichiers via ftp (en tout cas dans mon ancienne boite c'était comme ca :)).


    Si il y a seulement un accés web, .htaccess suffit
     
  11. cprail
    cprail WRInaute impliqué
    Inscrit:
    5 Mars 2006
    Messages:
    795
    J'aime reçus:
    0
    Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
    mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...
     
  12. mr_go
    mr_go WRInaute passionné
    Inscrit:
    21 Septembre 2005
    Messages:
    1 688
    J'aime reçus:
    2
    Il confirme. ;)
     
Chargement...
Similar Threads - Protection htpasswd suffisant Forum Date
Protection de site web : quel code ajouter dans htaccess ? URL Rewriting et .htaccess 5 Mars 2021
Loi sur la protection du consommateur (California Consumer Privacy Act) Droit du web (juridique, fiscalité...) 18 Novembre 2019
Google Adwords - Protection de marque AdWords 12 Novembre 2019
Texte utilisation cookies et protection des données : pb de duplicate ? Débuter en référencement 8 Janvier 2019
Règlement européen sur la protection des données (RGPD) Droit du web (juridique, fiscalité...) 20 Avril 2018
Suite Réception mail Google protection de données Google Analytics 12 Avril 2018
Protection de mon site, de son contenu et de mes rédactions Droit du web (juridique, fiscalité...) 13 Février 2017
mentions legales formulaire web protection donnees Droit du web (juridique, fiscalité...) 9 Octobre 2016
Protection htaccess par IP+mot passe Administration d'un site Web 8 Juin 2016
Protection de fichiers via un .htaccess URL Rewriting et .htaccess 28 Avril 2016
Protection variable php contre les injections ? Développement d'un site Web ou d'une appli mobile 5 Avril 2016
Sécuriser son formulaire de recherche (protection anti-robot) Développement d'un site Web ou d'une appli mobile 24 Février 2015
INPI Protection marque. Droit du web (juridique, fiscalité...) 4 Octobre 2014
Merci de tester ma protection fail2ban ipv6 ? Administration d'un site Web 17 Août 2014
AE et protection sociale Droit du web (juridique, fiscalité...) 1 Décembre 2013
Protection contre la récupération de mot de passe Droit du web (juridique, fiscalité...) 25 Novembre 2013
Quelle protection pour le marchand avec Paypal et contrat VAD ? e-commerce 23 Novembre 2012
Protection juridique d'un site comparatif ou d'avis consommateur Droit du web (juridique, fiscalité...) 1 Novembre 2012
Protection d'un site auprès d'organisme copyright en ligne Droit du web (juridique, fiscalité...) 15 Octobre 2012
Protection de mon code / design sur site web et société. Droit du web (juridique, fiscalité...) 5 Août 2012