# Sécurité des sites et forums [quelques infos sur htaccess]

vandutch

DZSatien V.I.P
Inscrit
29/3/08
Messages
2 418
BJR LA TEAM

J'ai reçu par MP une demande d'explication sur le fameux .htaccess
Il m'a semblé bon que ma réponse soit accessible a tous, car beaucoup de ceux qui se font hacker, n'ont pas mis cette protection ultra simple mais indispensable

Je ne vais pas m'étendre sur la totalité du .htaccess, mais seulement sur 2 types.

Le .htaccess est un fichier texte que l'on place dans le repertoire que l'on souhaite protéger.
Soit l'accés est totalement interdit, soit l'accés est permis avec login et password

pour les non initiés, le fichier doit être enregistrer exactement avec le nom de .htaccess
ne pas oublier le point devant htaccess

1 - Accés totalement interdit
avec votre editeur de texte, créer un fichier dans lequel vous ecrivez :


deny from all

sauvegardez le avec le nom de : .htaccess
et mettez ce fichier dans le répertoire a protéger

Personne ne pourra acceder a ce repertoire, sauf les applis php tournant avec le meme serveur

pour exemple, sur Projet Omega, les sources et données sensibles ne sont accessible seulement au fichiers PHP.
Ces derniers sont stockés dans le repertoire inc de mon serveur. Un fichier .htaccess "deny from all" en est le gardien.


exemple


2 - Accès avec password


Ce mode de fonctionnement nécéssite 2 fichiers

2a - Fichier .htaccess contenant :


PerlSetVar AuthFile /acces/htpasswd.txt
AuthName "Identifiez-vous"
AuthType Basic
require valid-user


2b - Fichier password contenant les couples login password :


omega:cestmoi
BJ:cestluilechef
bison:beteacorne


le fichier password sera stocké dans un dossier autre que le dossier pour lequel on souhaite ouvrir l'accès

par exemple prenons:

pomega > (dossier accessible par password >)
acces > (dossier contenant le fichier password)

dans le dossier pomega/ je mets le fichier .htaccess :
PerlSetVar AuthFile /acces/htpasswd.txt
AuthName "Identifiez-vous"
AuthType Basic
require valid-user

PS : la ligne : PerlSetVar AuthFile /
acces/htpasswd.txt, contient le nom du fichier identifiant, ainsi que le répertoire dans lequel il est stocké

ici : fichier : htpasswd.txt
repertoire : acces/

dans le dossier acces/ je met le fichier
htpasswd.txt contenant les identifiants :
omega:cestmoi
BJ:cestluilechef
bison:beteacorne

bien entendu ce fichier acces étant sensible, il faut lui interdire son accessibilité par un .htaccess contenant :

deny from all

lors de l'acces au repertoire pomega, une fenetre s'affichera demandant les identifiants du visiteurs
personnse ne pourra accéder par http au dossier acces.
ce dernier reste toujours accessible par ftp

Si vous souhaitez interdire l'acces a un membre, il suffira de supprimer ses identifiants dans le fichier password.

Vous pouvez aussi lors de l'inscription de vos membres, rajouté les identifiants dans ce fichier password automatiquement par php (simple lecture /ecriture du fichier en question, mais cela est une autre histoire)



VANDUTCH @++
 
Salut vandush !

Les htacess , c'est idéal pour protéger quelques dossiers mais cela ne protège pas contre le hacking , disons que c'est un plus , et que ça fera un peu chié le hacker.... :wink2:

@+
 
Retour
Haut