Securité HTTP_REFERER sur htaccess et addon Modify headers

[djtyroon]

bonjour je viens vers vous pour un petit coup de mains car après plusieurs recherches je ne trouve pas mon bonheur.

Je souhaite bloquer l'accès d'un site web en local avec un fichier htaccess et autoriser l'accès aux pages uniquement via un autre site web (en utilisant une iframe). Je m'explique :

http://www.site1.com/index.php (doit être inaccessible) http://www.site2.com appel via iframe http://www.site1.com/index.php (accessible)

Essais inspirés par le hotlinking :

htaccess sur http://www.site1.com :

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^http://(www\.)?site2.com(/)?.*$ [NC]

RewriteRule .*\.(gif|GIF|jpg|JPG|bmp|BMP|png|PNG|html|HTML|htm|HTM|php|PHP|swf|SWF|xml|XML)$ - [F]

Cela fonctionne mais un addon firefox "Modify Headers" casse cette "sécurité"

Pourriez vous m'aider pour trouver une autre méthode utilisant le htaccess. d'avance merci.

 

[jcaron]

Quoi qu'il arrive le referer comme tous les autres headers est complètement modifiable par n'importe qui à part l'internaute lambda. Sans parler des anti-virus, firewalls et autres outils "de protection de la vie privée" qui vont le bloquer ou le modifer. Ce n'est donc pas une information sur laquelle tu peux compter.

La seule solution à peu près sûre (mais pas implémentable via un .htaccess) c'est d'avoir une signature cryptographique datée générée d'un côté et vérifiée de l'autre.

Genre tu ajoutes à l'URL un timestamp et un md5(timestamp+clef) sur site2, et sur site1 tu vérifies que le md5 correspond et que le timestamp n'est pas trop vieux.

Mais bon, c'est toujours pareil, tout dépend de pourquoi tu veux empêcher ça et de l'équilibre entre ton besoin et les contraintes imposées par le système.

Jacques.

 

[djtyroon]

Merci jacques pour ta réponse je vais faire des recherches sur ta proposition de solution aurais tu un lien à me conseiller ? Encore merci