Securité HTTP_REFERER sur htaccess et addon Modify headers

Discussion dans 'URL Rewriting et .htaccess' créé par djtyroon, 18 Novembre 2009.

Tags:
  1. djtyroon
    djtyroon Nouveau WRInaute
    Inscrit:
    17 Avril 2009
    Messages:
    5
    J'aime reçus:
    0
    bonjour je viens vers vous pour un petit coup de mains car après plusieurs recherches je ne trouve pas mon bonheur.

    Je souhaite bloquer l'accès d'un site web en local avec un fichier htaccess et autoriser l'accès aux pages uniquement via un autre site web (en utilisant une iframe). Je m'explique :

    http://www.site1.com/index.php (doit être inaccessible) http://www.site2.com appel via iframe http://www.site1.com/index.php (accessible)

    Essais inspirés par le hotlinking :

    htaccess sur http://www.site1.com :

    RewriteEngine On

    RewriteCond %{HTTP_REFERER} !^http://(www\.)?site2.com(/)?.*$ [NC]

    RewriteRule .*\.(gif|GIF|jpg|JPG|bmp|BMP|png|PNG|html|HTML|htm|HTM|php|PHP|swf|SWF|xml|XML)$ - [F]

    Cela fonctionne mais un addon firefox "Modify Headers" casse cette "sécurité"

    Pourriez vous m'aider pour trouver une autre méthode utilisant le htaccess. d'avance merci.
     
  2. jcaron
    jcaron WRInaute accro
    Inscrit:
    13 Février 2004
    Messages:
    2 604
    J'aime reçus:
    0
    Quoi qu'il arrive le referer comme tous les autres headers est complètement modifiable par n'importe qui à part l'internaute lambda. Sans parler des anti-virus, firewalls et autres outils "de protection de la vie privée" qui vont le bloquer ou le modifer. Ce n'est donc pas une information sur laquelle tu peux compter.

    La seule solution à peu près sûre (mais pas implémentable via un .htaccess) c'est d'avoir une signature cryptographique datée générée d'un côté et vérifiée de l'autre.

    Genre tu ajoutes à l'URL un timestamp et un md5(timestamp+clef) sur site2, et sur site1 tu vérifies que le md5 correspond et que le timestamp n'est pas trop vieux.

    Mais bon, c'est toujours pareil, tout dépend de pourquoi tu veux empêcher ça et de l'équilibre entre ton besoin et les contraintes imposées par le système.

    Jacques.
     
  3. djtyroon
    djtyroon Nouveau WRInaute
    Inscrit:
    17 Avril 2009
    Messages:
    5
    J'aime reçus:
    0
    Merci jacques pour ta réponse je vais faire des recherches sur ta proposition de solution aurais tu un lien à me conseiller ? Encore merci
     
Chargement...
Similar Threads - Securité HTTP_REFERER htaccess Forum Date
Avertissements de sécurité pour Chrome Débuter en référencement 18 Août 2017
Avertissements de sécurité SSL (HTTPS) dans Chrome 62 Développement d'un site Web ou d'une appli mobile 18 Août 2017
Probleme de sécurité signalé sur la search console de Google Google Analytics 8 Août 2016
Contrôle de sécurité Facebook 24 Juillet 2015
Sécurité : encore un impair pour Google Google : l'entreprise, les sites web, les services 15 Mars 2015
Outils pour tester d'éventuelles failles de sécurité sur notre site? Développement d'un site Web ou d'une appli mobile 20 Janvier 2015
Formulaire et envoie de données et sécurité Développement d'un site Web ou d'une appli mobile 15 Janvier 2015
Tester la sécurité d'un script avant sa mise en ligne Développement d'un site Web ou d'une appli mobile 23 Août 2013
Sécurité et copyright pour son site? Débuter en référencement 5 Janvier 2013
Client mail en PHP : sécurité ? (PJ, mail html...) Développement d'un site Web ou d'une appli mobile 1 Décembre 2012
  1. Ce site utilise des cookies. En continuant à utiliser ce site, vous acceptez l'utilisation des cookies.
    Rejeter la notice