Protection via .htpasswd : est-ce suffisant ?

mr_go · 11 Juillet 2006

Bonjour,

ma question peut sembler triviale, mais je me demandais si la seule protection via .htpasswd était suffisante pour protéger une partie d'un intranet multi-utilisateurs possédant chacun un répertoire distinct.

Qu'en pensez vous ?

e-kiwi · 11 Juillet 2006

oui, un htaccess protege un répertoire de toute malveillance

apres c'est moins pratique qu'une session, ca depend de ce que tu veux faire derriere comme suivi de membre (bien que tu puisse recuperer l identifiant tappé dans la fenetre de protection)

mr_go · 11 Juillet 2006

Eh bien ce ne sera que de la consultation de documents en fait, mais il se peut que j'aie besoin d'un formulaire commun à tous.

Comment récupérer cet identifiant ?

Please, ne me dis pas Javascript !

e-kiwi · 11 Juillet 2006

javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)

$PHP_AUTH_PW et $PHP_AUTH_USER

e-kiwi · 11 Juillet 2006

apparemment sous OVH mutualisé, ca serait ça : $_SERVER['REMOTE_USER']. (source - google)

mr_go · 11 Juillet 2006

e-kiwi a dit:
javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)

$PHP_AUTH_PW et $PHP_AUTH_USER

bon ca va on va bien s'entendre... ^^

Merci pour l'astuce, même si je connais bien PHP, je n'avais jamais utilisé ces variables serveur =).

Bon ben du coup, on peut générer une session en aval ?

EDIT : Oki au pire je ferai un print_r($_SERVER)....

e-kiwi · 11 Juillet 2006

oui, du genre
if (isset($_SERVER['PHP_AUTH_USER']))
{
session_start();
$_SESSION['login']=$PHP_AUTH_USER
}

je suppose, jamais testé, mais je vois pas pourquoi cela ne marcherai pas, à moins que ton hebergeur face des siennes (si il aval pas ^^)
dézolé

e-kiwi · 11 Juillet 2006

tiens j'ai trouvé ce script :
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
exit;
} else {
echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>

mr_go · 11 Juillet 2006

Ah ben c'est plus que ce que je n'en demandais : merci bien e-kiwi.

julisube · 14 Juillet 2006

Ca dépend si tes utilisateurs ont un accés ftp, si les droits sont mal réglés au niveau du système de fichier, il se peut que les utilisateurs puissent lire les fichiers via ftp (en tout cas dans mon ancienne boite c'était comme ca

).

Si il y a seulement un accés web, .htaccess suffit

cprail · 15 Juillet 2006

Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...

mr_go · 16 Juillet 2006

cprail a dit:
Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...

Il confirme.