PHP|Débutant :: Forums

Advertisement

Besoin d'aide ? N'hésitez pas, mais respectez les règles

Vous n'êtes pas identifié(e).

#1 21-04-2013 14:08:59

tapi
Membre
Inscription : 16-08-2010
Messages : 27

protection dossier

Bonjour,
J'ai besoin de protéger un dossier "admin" avec des fichiers "htaccess" et "htpasswd". le problème est que j'ai un fichier en php à la racine de mon site qui fait appel par un include à plusieurs fichiers qui se trouvent dans le dossier "admin" ; du coup il est demandé un nom d'utilisateur et un mot de passe à l'ouverture. Pour des contraintes de sécurité et autres je ne peux pas déplacer ces fichiers. Auriez-vous une solution pour éviter cela ?
Merci.


Hors ligne

#2 22-04-2013 09:10:12

nicolas
Membre
Inscription : 11-11-2009
Messages : 69
Site Web

Re : protection dossier

Ce n'est pas normal. De quelle manière fais-tu l'inclusion ? Peut-on voir un peu de code ?

Hors ligne

#3 22-04-2013 11:59:21

Maljuna Kris
Infantimigulo
Lieu : Douarnenez 29100 Breizh Izel
Inscription : 08-05-2009
Messages : 2 453
Site Web

Re : protection dossier

Saluton,
Il faudrait aussi voir quelles directives figurent dans le fichier .htaccess


Gloire à qui n'ayant pas d'idéal sacro-saint,
Se borne à ne pas trop emmerder ses voisins. G. Brassens Don Juan 1976.
Avĉjo MoKo kantas
La chaîne YouTube MoKo Papy

Hors ligne

#4 24-04-2013 02:16:54

Jc
Membre
Lieu : Zillisheim - Alsace
Inscription : 15-04-2010
Messages : 1 620
Site Web

Re : protection dossier

Bonjour,

Pour des contraintes de sécurité et autres je ne peux pas déplacer ces fichiers

Permettez-moi d'avoir un doute la dessus. Si cela est fait dans un contexte où l'on pense que le plus sécurisé pour sécuriser un fichier c'est de protéger son dossier par une directive htaccess, vous vous mettez le doigt dans l'œil (je ne dirais pas jusqu'où par égard pour nos lecteur, car ca risquerait d'être un peu gore).

Commencez par sortir vos fichiers d'include à sécuriser de l'arborescence et faites un chmod 644 dessus, sera déjà un début beaucoup plus sain.

Ensuite si vous utilisez la directive htaccess pour protéger votre dossier et vous en servir comme module de connexion, c'est pareil c'est loin d'être top bien que suffisant dans certains cas de figure mais restreints tout de même. Attention donc, mais difficile de porter un jugement plus constructif sans connaître le contenu et la nature des fichiers protégés.

++

Dernière modification par Jc (24-04-2013 02:17:24)


POO PHP+Ajax en MVC avec PDO et Bases de données épaisses  : What else?

Hors ligne

#5 24-04-2013 13:13:38

ManicoW
Cowrespondant
Lieu : Tours
Inscription : 08-05-2009
Messages : 190
Site Web

Re : protection dossier

Coucou,

En fait JC l'un des problèmes est qu'un certain nombre d'hébergeurs ne permettent pas de sortir les fichiers de l'arbo web. Dans ce cas un .htaccess c'est mieux que rien (ca fonctionne plutot bien, surtout si il n'y a pas de demande d'authentification mais juste un deny from all smile).

Quant à la sécurisation que cela apporte, on a vu pire déjà.

Le principal avantage, c'est que c'est simple et fiable dans sa façon de fonctionner.

Les principaux défaut, c'est :

- que le mot de passe est transmis en clair (m'enfin c'est le cas aussi dans la plupart des formulaires, peu de gens le crypte avant l'envoi, et si on colle du https par là dessus, c'est plus en clair)

- que c'est pas très souple dans la gestion des utilisateurs

- que ça ne gère aucune notion de droit

Reste qu'a mon sens, c'est plus fiable qu'un bon tas de truc tout fait qui sont finalement des nids a faille de sécurité. Quand je vois le nombre d'appel a des fichiers wp-login.php sur l'infra mutu...

Ce n'est donc pas le plus sécurisé, n’empêche qu'un petit htaccess/htpasswd sur du https en pré-authentification, ça calme déjà plein d'attaques smile

Ensuite le fait de sortir les fichiers de l'arbo web avec un chmod 644, ca ne suffit pas forcément non plus. Il faut encore que php soit limité en accès a l'arbo web (avec un bel include_path bien fait qui permet quand même d'inclure les fichiers include), que l'arbo hors web le soit vraiment (j'ai déjà vu du /var/www/site.tld/includes/ avec le vhost par defaut du serveur sur /var/www/), et que l'user apache (qui en général fait tourner php, ou celui de php le cas échéant) soit différent de celui du ftp, sinon ton 6 du début suffit a le rendre inscriptible par le web. Et vu les problèmes de droits, il n'est pas rare que l'user ftp et php soit le même.

Bref, la sécurité, c'est un truc qui se voit dans un contexte plus global comme tu le dis, et bien se protéger, c'est tout un art, pas forcément facile pour un débutant.

@+


la v2, c'est tabou, on en viendra tous a bout

Hors ligne

#6 10-05-2013 07:34:20

seb
Membre
Inscription : 10-05-2013
Messages : 2

Re : protection dossier

Salut,

Un chmod 600 n'est pas mieux ?

Hors ligne

Pied de page des forums