Vous n'êtes pas identifié(e).
- Contributions : Récentes | Sans réponse
Pages :: 1
#1 21-04-2013 14:08:59
- tapi
- Membre
- Inscription : 16-08-2010
- Messages : 27
protection dossier
Bonjour,
J'ai besoin de protéger un dossier "admin" avec des fichiers "htaccess" et "htpasswd". le problème est que j'ai un fichier en php à la racine de mon site qui fait appel par un include à plusieurs fichiers qui se trouvent dans le dossier "admin" ; du coup il est demandé un nom d'utilisateur et un mot de passe à l'ouverture. Pour des contraintes de sécurité et autres je ne peux pas déplacer ces fichiers. Auriez-vous une solution pour éviter cela ?
Merci.
Hors ligne
#3 22-04-2013 11:59:21
- Maljuna Kris
- Infantimigulo
- Lieu : Douarnenez 29100 Breizh Izel
- Inscription : 08-05-2009
- Messages : 2 453
- Site Web
Re : protection dossier
Saluton,
Il faudrait aussi voir quelles directives figurent dans le fichier .htaccess
Gloire à qui n'ayant pas d'idéal sacro-saint,
Se borne à ne pas trop emmerder ses voisins. G. Brassens Don Juan 1976.
Avĉjo MoKo kantas
La chaîne YouTube MoKo Papy
Hors ligne
#4 24-04-2013 02:16:54
Re : protection dossier
Bonjour,
Pour des contraintes de sécurité et autres je ne peux pas déplacer ces fichiers
Permettez-moi d'avoir un doute la dessus. Si cela est fait dans un contexte où l'on pense que le plus sécurisé pour sécuriser un fichier c'est de protéger son dossier par une directive htaccess, vous vous mettez le doigt dans l'œil (je ne dirais pas jusqu'où par égard pour nos lecteur, car ca risquerait d'être un peu gore).
Commencez par sortir vos fichiers d'include à sécuriser de l'arborescence et faites un chmod 644 dessus, sera déjà un début beaucoup plus sain.
Ensuite si vous utilisez la directive htaccess pour protéger votre dossier et vous en servir comme module de connexion, c'est pareil c'est loin d'être top bien que suffisant dans certains cas de figure mais restreints tout de même. Attention donc, mais difficile de porter un jugement plus constructif sans connaître le contenu et la nature des fichiers protégés.
++
Dernière modification par Jc (24-04-2013 02:17:24)
POO PHP+Ajax en MVC avec PDO et Bases de données épaisses : What else?
Hors ligne
#5 24-04-2013 13:13:38
Re : protection dossier
Coucou,
En fait JC l'un des problèmes est qu'un certain nombre d'hébergeurs ne permettent pas de sortir les fichiers de l'arbo web. Dans ce cas un .htaccess c'est mieux que rien (ca fonctionne plutot bien, surtout si il n'y a pas de demande d'authentification mais juste un deny from all 
).
Quant à la sécurisation que cela apporte, on a vu pire déjà.
Le principal avantage, c'est que c'est simple et fiable dans sa façon de fonctionner.
Les principaux défaut, c'est :
- que le mot de passe est transmis en clair (m'enfin c'est le cas aussi dans la plupart des formulaires, peu de gens le crypte avant l'envoi, et si on colle du https par là dessus, c'est plus en clair)
- que c'est pas très souple dans la gestion des utilisateurs
- que ça ne gère aucune notion de droit
Reste qu'a mon sens, c'est plus fiable qu'un bon tas de truc tout fait qui sont finalement des nids a faille de sécurité. Quand je vois le nombre d'appel a des fichiers wp-login.php sur l'infra mutu...
Ce n'est donc pas le plus sécurisé, n’empêche qu'un petit htaccess/htpasswd sur du https en pré-authentification, ça calme déjà plein d'attaques
Ensuite le fait de sortir les fichiers de l'arbo web avec un chmod 644, ca ne suffit pas forcément non plus. Il faut encore que php soit limité en accès a l'arbo web (avec un bel include_path bien fait qui permet quand même d'inclure les fichiers include), que l'arbo hors web le soit vraiment (j'ai déjà vu du /var/www/site.tld/includes/ avec le vhost par defaut du serveur sur /var/www/), et que l'user apache (qui en général fait tourner php, ou celui de php le cas échéant) soit différent de celui du ftp, sinon ton 6 du début suffit a le rendre inscriptible par le web. Et vu les problèmes de droits, il n'est pas rare que l'user ftp et php soit le même.
Bref, la sécurité, c'est un truc qui se voit dans un contexte plus global comme tu le dis, et bien se protéger, c'est tout un art, pas forcément facile pour un débutant.
@+
la v2, c'est tabou, on en viendra tous a bout
Hors ligne
#6 10-05-2013 07:34:20
- seb
- Membre
- Inscription : 10-05-2013
- Messages : 2
Re : protection dossier
Salut,
Un chmod 600 n'est pas mieux ?
Hors ligne
Pages :: 1