Protection via .htpasswd : est-ce suffisant ?
12 messages
• Page 1 sur 1
-
mr_go - WRInaute passionné
- Messages: 1945
- Inscription: 21 Sep 2005
Protection via .htpasswd : est-ce suffisant ?
le Mar Juil 11, 2006 13:04
Bonjour,
ma question peut sembler triviale, mais je me demandais si la seule protection via .htpasswd était suffisante pour protéger une partie d'un intranet multi-utilisateurs possédant chacun un répertoire distinct.
Qu'en pensez vous ?
ma question peut sembler triviale, mais je me demandais si la seule protection via .htpasswd était suffisante pour protéger une partie d'un intranet multi-utilisateurs possédant chacun un répertoire distinct.
Qu'en pensez vous ?
-
e-kiwi - Modérateur
- Messages: 15618
- Inscription: 23 Déc 2003
le Mar Juil 11, 2006 13:27
oui, un htaccess protege un répertoire de toute malveillance 
apres c'est moins pratique qu'une session, ca depend de ce que tu veux faire derriere comme suivi de membre (bien que tu puisse recuperer l identifiant tappé dans la fenetre de protection)
apres c'est moins pratique qu'une session, ca depend de ce que tu veux faire derriere comme suivi de membre (bien que tu puisse recuperer l identifiant tappé dans la fenetre de protection)-
mr_go - WRInaute passionné
- Messages: 1945
- Inscription: 21 Sep 2005
le Mar Juil 11, 2006 13:35
e-kiwi a écrit:javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)
$PHP_AUTH_PW et $PHP_AUTH_USER
bon ca va on va bien s'entendre... ^^
Merci pour l'astuce, même si je connais bien PHP, je n'avais jamais utilisé ces variables serveur =).
Bon ben du coup, on peut générer une session en aval ?
EDIT : Oki au pire je ferai un print_r($_SERVER)....
-
e-kiwi - Modérateur
- Messages: 15618
- Inscription: 23 Déc 2003
le Mar Juil 11, 2006 13:39
oui, du genre
if (isset($_SERVER['PHP_AUTH_USER']))
{
session_start();
$_SESSION['login']=$PHP_AUTH_USER
}
je suppose, jamais testé, mais je vois pas pourquoi cela ne marcherai pas, à moins que ton hebergeur face des siennes (si il aval pas ^^)
dézolé
if (isset($_SERVER['PHP_AUTH_USER']))
{
session_start();
$_SESSION['login']=$PHP_AUTH_USER
}
je suppose, jamais testé, mais je vois pas pourquoi cela ne marcherai pas, à moins que ton hebergeur face des siennes (si il aval pas ^^)
dézolé
-
e-kiwi - Modérateur
- Messages: 15618
- Inscription: 23 Déc 2003
le Mar Juil 11, 2006 13:41
tiens j'ai trouvé ce script :
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
exit;
} else {
echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
exit;
} else {
echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>
- julisube
- WRInaute occasionnel
- Messages: 263
- Inscription: 26 Juin 2006
le Ven Juil 14, 2006 21:28
Ca dépend si tes utilisateurs ont un accés ftp, si les droits sont mal réglés au niveau du système de fichier, il se peut que les utilisateurs puissent lire les fichiers via ftp (en tout cas dans mon ancienne boite c'était comme ca ).
Si il y a seulement un accés web, .htaccess suffit
).
Si il y a seulement un accés web, .htaccess suffit
-
cprail - WRInaute passionné
- Messages: 1564
- Inscription: 5 Mar 2006
le Ven Juil 14, 2006 23:28
Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...
-
mr_go - WRInaute passionné
- Messages: 1945
- Inscription: 21 Sep 2005
le Dim Juil 16, 2006 16:49
cprail a écrit:Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...
Il confirme.
12 messages
• Page 1 sur 1
Lectures recommandées sur ce thème :
- 38 pages c'est suffisant?
- sql perso 25 mo suffisant ?
- est ce que c'est suffisant ?
- Google analytic suffisant?
- un hebergement mutualisé est il suffisant?
- 35 Unique Backlinks, c'est suffisant?
- un seul pagerank est-ce suffisant ?
- 100ko, est-ce vraiment suffisant ?
- Trafic minimum suffisant pour un site de graphiste?
- mysql_real_escape_string() suffisant contre les injections SQL?
- 3ème partie de l'article .htaccess : les réécritures conditionnelles - 21-01-2003
- Les programmes d'Arte bientôt sur YouTube - 02-09-2010
- Les statistiques de Google Sitemaps - 21-11-2005
- Google Puffin : Google cherche sur votre disque dur - 21-05-2004
- Le Sandbox serait-il lié au TrustRank ? - 23-11-2005
- Le nouveau statut de la presse en ligne en France - 14-04-2009
- Google lance le service Latitude - 05-02-2009
- Google facilite l'affichage de + de 2 résultats par sous-domaine (clustering) - 31-07-2009
Consultez la description détaillée des produits ou services de Google suivants : Google Grants, Google Site Stats
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités
Contact
Confidentialité