Comment faire mon htaccess (ou autre solution) pour protéger dossier?

[benka]

Salut

J'ai un site www.monsite.com

Je veux que tout soit accessible sans limite SAUF le sous dossier

www.monsite.com/secure

J'aimerai restreindre l'accès de secure à une seule adresse ip

de la forme : 213.457.458.456 avec un host name de la forme MONNOM.MONFAI.net

(il faut que l'ip corresponde et que le host name contienne le mot MONNOM)

J'aimerai aussi que, dans le cas ou l'ip et/ou le host name ne sont pas bon, proposer un accès par mot de passe.

Y a t il une solution ?

Est ce vraiment fiable à 100% ? (à part attaque par force brute j'entend, le login et le mot de passe seront suffisamment compliqués).

Merci pour votre aide!

[JanoLapin]

htaccess + htpassword, non ?

[benka]

htaccess + htpassword, non ?

Oui, mais comment faire mon htaccess pour arriver au but que je me suis fixé?

[JanoLapin]

"Google est ton ami"

PS: dire cela sur un site de réf.. ça me fait marrer: un ami qui m'occupe autant et me coûte autant de nerfs, c'est pas un ami mais bon.. passons..

[benka]

Bah justement, sur ce point précis, Google n'est pas mon meilleur ami

[Dolph]

213.457.458.456 avec un host name de la forme MONNOM.MONFAI.net

t'es déjà sur que ton FAI fournis un host à ton nom d'abonné ?
En général, ton ip est unique et l'host générique.

[_Soul]

Salut,

Deny from All
Allow from 1.2.3.4

Mais après ce sera plus simple de faire une authentification en php, c'est vite chiant l'htaccess, j'en fais le moins possible perso :p

[benka]

213.457.458.456 avec un host name de la forme MONNOM.MONFAI.net

t'es déjà sur que ton FAI fournis un host à ton nom d'abonné ?
En général, ton ip est unique et l'host générique.

Yep, Nerim inclut le nom du client dans le host name et si je veux un double controle, c'est au cas ou mon ip changerait.

[benka]

Salut,

Deny from All
Allow from 1.2.3.4

Mais après ce sera plus simple de faire une authentification en php, c'est vite chiant l'htaccess, j'en fais le moins possible perso :p

C'est pas tout à fait ce que je veux.

Exemple :

Je suis au bureau, je veux accéder à secure sans saisir de login/pwd puisque le couple ip/host name est autorisé.
Je suis en déplacement, je veux accéder à secure en saisissant un login/pwd puisque le couple ip/host name n'est pas autorisé.

Pour ce qui est de l'implémentation en php, c'est assez délicat car j'ai plusieurs applis php dans secure, des dossiers contenant des docs, etc...

[_Soul]

Salut,

Faut faire un "ou" user authoriser, mais la j'en ais aucune idée, je pense pas que sa soit possible.

Sinon tu fais un htaccess ou tu dis que seul les gens venant d'une page on le droit de venir genre auth.tonsite.com

Dans cette page tu fais une authentification en php qui te renvoie dans le dossier, mais c'est pas très sécurisant si on connais la structure de ton site

[benka]

Salut,

Faut faire un "ou" user authoriser, mais la j'en ais aucune idée, je pense pas que sa soit possible.

Sinon tu fais un htaccess ou tu dis que seul les gens venant d'une page on le droit de venir genre auth.tonsite.com

Dans cette page tu fais une authentification en php qui te renvoie dans le dossier, mais c'est pas très sécurisant si on connais la structure de ton site

Merci pour ta réponse. Effectivement, il faudrait faire un "ou" mais comment savoir si c'est possible?

Pour ce qui est de la restriction sur le referer, c'est pas très sûr, non? On peut facilement indiqué un faux referer ?

[_Soul]

Si c'est possible c'est dans la doc d'apache mais j'ai vite abandonner ^^

Pour le referer, il suffit de modifier les entêtes http et c'est plutôt simple. Le truc c'est que si personne sait d'ou il faut venir sa marchera sinon t'aura des problèmes...

Après je voie pas, c'est pas mon point fort les htaccess, mais regarde quand même si tu peux pas faire un truc en php, ce sera surement moins casse tête