htaccess demande toujours le mdp

htaccess demande toujours le mdp - HTML/CSS - Programmation

Marsh Posté le 08-11-2008 à 14:04:41    

Bonjour,
Je n'y comprend plus rien, j'ai mis les fichiers .htaccess et .htpasswd dans le dossier 'photos' que je veux protéger. Si je tape l'adresse http://monsite/photos/ le pseudo et mdp sont demandés. Jusqu'à la c'est normal mais où c'est étrange c'est que la page index.html n'arrive pas à afficher une des photos de ce dossier... pseudo et mdp sont demandés ! Je pensais que cette méthode protégé l'acces direct au dossier et non pas l'acces par html ou php depuis le même site. Vous avez une idée du problème ?

Reply

Marsh Posté le 08-11-2008 à 14:04:41   

Reply

Marsh Posté le 08-11-2008 à 14:50:40    

Bah c'est juste le comportement normal.
Cette méthode protège l'accès au répertoire et son contenu.
Peu importe la que ce soit une page html qui demande ces photos, pour le serveur c'est toujours une requête http hein.


---------------
-- Debian -- Le système d'exploitation universel | Le gras c'est la vie! | /(bb|[^b]{2})/
Reply

Marsh Posté le 08-11-2008 à 15:59:36    

Bonjour,

 

Ton site est hébergé chez free ?
Essayer de voir mes photos : http://darkrodspace.free.fr/images/
Pour remplacé .htaccess et .htpasswd pour que je protège mes dossiers , j'ai mis un index.html , c'est une solution alternative ;)


Message édité par FR-DarkRod le 08-11-2008 à 16:02:16
Reply

Marsh Posté le 08-11-2008 à 17:27:07    

Comportement normal? ça sert à rien alors, à quoi bon mettre des photos si mes pages ne peuvent pas les lire... Et puis, je suis persuadé que mes pages pouvaient les afficher mais que je ne pouvais pas y accéder si j'allais directement dans le dossier.. bizarre tout ça. J'avais alors un bug bien pratique lol
 
Je ne suis pas chez free et mettre un index et une solution mais ça ne protège pas contre l'aspiration du site. De plus j'aurais besoin d'un index dans tous les dossiers et sous dossiers du dossier principal (et y'en a bcp !)

Message cité 1 fois
Message édité par malicious le 08-11-2008 à 18:08:50
Reply

Marsh Posté le 08-11-2008 à 18:13:31    

malicious a écrit :

Comportement normal? ça sert à rien alors, à quoi bon mettre des photos si mes pages ne peuvent pas les lire... Et puis, je suis persuadé que mes pages pouvaient les afficher mais que je ne pouvais pas y accéder si j'allais directement dans le dossier.. bizarre tout ça. J'avais alors un bug bien pratique lol
 
Je ne suis pas chez free et mettre un index et une solution mais ça ne protège pas contre l'aspiration du site. De plus j'aurais besoin d'un index dans tous les dossiers et sous dossiers du dossier principal (et y'en a bcp !)


 
C'est pareil pour la méthode .htaccess et .htpasswd  :lol:  
 
Et de toute façon si on aspire ton site , tes dossiers ont beau être protégé on les aura lu de l'intérieur -_-"
un index c'est la même méthode , bref fais comme tu veux ;)
 
J'ai essayé les htaccess aussi mais ça marche pas alors je fais avec un index ;)

Reply

Marsh Posté le 08-11-2008 à 18:17:51    

bon ok, merci pour ces infos, je vais faire avec ;)

Reply

Marsh Posté le 08-11-2008 à 18:20:00    

Mais petite astuce si tu as beaucoup de sous dossiers , c'est de les mettre dans un dossier principal avec ton index , comme ça personne aura accès à tes sous dossiers ;)

Reply

Marsh Posté le 09-11-2008 à 10:53:47    

attention, PHP peux les lire (sans url avec HTTP) puisque il y accède depuis le serveur. Via le HTML, c'est la navigateur donc le client qui charge l'image qui est protégé via HTTP donc le mdp est demandé ;)

Reply

Marsh Posté le 09-11-2008 à 12:16:56    

ok donc si tu fais : echo '<img src="dossier_protege/image.jpg"/>'; c'est aussi de l'html et donc ça ne marchera pas non plus bien qu'il n'y a pas http.  
(j'ai fait le test, ça ne marche pas effectivement)

Reply

Marsh Posté le 09-11-2008 à 12:17:19    

malicious a écrit :

Bonjour,
Je n'y comprend plus rien, j'ai mis les fichiers .htaccess et .htpasswd dans le dossier 'photos' que je veux protéger. Si je tape l'adresse http://monsite/photos/ le pseudo et mdp sont demandés. Jusqu'à la c'est normal mais où c'est étrange c'est que la page index.html n'arrive pas à afficher une des photos de ce dossier... pseudo et mdp sont demandés ! Je pensais que cette méthode protégé l'acces direct au dossier et non pas l'acces par html ou php depuis le même site. Vous avez une idée du problème ?


 
Le mieux c'est de mettre un htaccess qui bloque tous les accès "directs" par HTTP . Quand tu veux afficher tes images tu passes par la fonction readfile() de PHP. Attention par contre parce que niveau performance, si tes images sont lourdes, tu vas le sentir passer.


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 09-11-2008 à 12:17:19   

Reply

Marsh Posté le 09-11-2008 à 16:13:48    

esox_ch a écrit :


 
Le mieux c'est de mettre un htaccess qui bloque tous les accès "directs" par HTTP . Quand tu veux afficher tes images tu passes par la fonction readfile() de PHP. Attention par contre parce que niveau performance, si tes images sont lourdes, tu vas le sentir passer.


 
+1, en gros çà ressemble à çà :
 
image.php
 

Code :
  1. <?php
  2. $img = $_GET['img'];
  3. $size = getimagesize($img);
  4. $mime = $size['mime'];
  5.  
  6. header("Content-Type: $mime" );
  7. readfile($img);
  8. ?>


 
et le html pour une quelconque image :
 

Code :
  1. <img src="image.php?img=images/logo.png" alt="Logo" />

Reply

Marsh Posté le 09-11-2008 à 19:54:08    

Après en général on évite d'insérer des failles de ce genre dans un script de 8 lignes ... Genre faire un readfile sur un paramètre passé par URL sans contrôles :heink:
 
Non, tu vires le "images/" et tu contrôles que ce qu'on te demande de lire est bien qqch que tu veux lire (style, pas tes configurations de la bdd & co)


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 09-11-2008 à 20:11:55    

J'ai quelque chose à demander sur le htaccess
 
Je voudrai le code source complet , généralement on dirige le demandeur d'aide mais voilà , j'ai essayé la méthode : http://www.siteduzero.com/tutoriel [...] ccess.html
 
Mais impossible de le faire fonctionné , au pire envoyez moi tout ça , s'il vous plait en messages privés , htaccess et htpasswd semblent efficaces ! Mais je n'y arrive point !
 
Cordialement , DarkRod

Reply

Marsh Posté le 10-11-2008 à 17:44:19    

esox_ch a écrit :

Après en général on évite d'insérer des failles de ce genre dans un script de 8 lignes ... Genre faire un readfile sur un paramètre passé par URL sans contrôles :heink:
 
Non, tu vires le "images/" et tu contrôles que ce qu'on te demande de lire est bien qqch que tu veux lire (style, pas tes configurations de la bdd & co)


 
si tu lis bien mon post c'est écrit :
en gros, çà ressemble à çà
 
Je lui montre le fonctionnement du système.
Si tu y tiens vraiment je peux éditer mais bon ici c'est pas PHPCS.COM  
Pour le test un getimagesize fait l'affaire par exemple mais je pense qu'il est capable de le faire tout seul.
 

Code :
  1. <?php
  2. $img = $_GET['img'];
  3. $size = getimagesize($img);
  4. $mime = $size['mime'];
  5.  
  6. header("Content-Type: $mime" );
  7. if($size[0] <= 1 && $size[1] >=1) {
  8.     readfile($img);
  9. } else {
  10.     readfile('images/404.gif');
  11. }
  12. ?>

Message cité 1 fois
Message édité par Profil supprimé le 11-11-2008 à 16:19:53
Reply

Marsh Posté le 10-11-2008 à 20:05:38    

FR-DarkRod a écrit :

J'ai quelque chose à demander sur le htaccess
 
Je voudrai le code source complet , généralement on dirige le demandeur d'aide mais voilà , j'ai essayé la méthode : http://www.siteduzero.com/tutoriel [...] ccess.html
 
Mais impossible de le faire fonctionné , au pire envoyez moi tout ça , s'il vous plait en messages privés , htaccess et htpasswd semblent efficaces ! Mais je n'y arrive point !
 
Cordialement , DarkRod


 
Non.. On va pas faire le boulot pour toi. Colle ici ce que tu as écrit et on te dira où ça coince.
 
 
 
 
Ok. À nouveau : Il se passe quoi si je met img=db.inc.php (nom donné au fichier contenant le login/mot de passe dans pratiquement tous les livres/tuto PHP que j'ai vu) ? Il va me le donner bien gentilement non?
ça serait pas légèrement plus simple de faire un contrôle disant que si le nom du fichier contient des caractères style .. \ / , bein c'est mort direct, et ensuite écrivant le readfile('images/'.$img); ?
Comme ça t'es sûr que tu vas  pas te faire démolir (et ça prend se fait aussi en 1 ligne)


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 11-11-2008 à 11:26:50    

ce script n'affiche le contenu du fichier que si c'est d'une image d'au moins 1x1px non ?
Pourquoi veux tu qu'il affiche le contenu d'un fichier texte ?

Reply

Marsh Posté le 11-11-2008 à 16:11:53    

Salut,
 
Effectivement dans le principe tu as raison. Le problème est que je sais par expérience que souvent les fonctions qui tentent de filtrer des fichiers à partir du MIME (comme getimagesize) sont un peu casse gueule parce que tu sais pas trop comment ça se passe dedans ... D'autant plus que dans ce cas spécifique ça me semble injustifié de prendre ce risque vu qu'il saura déjà à priori où se trouvent les seules images "valides"


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
Reply

Marsh Posté le 11-11-2008 à 16:19:36    

ok, donc mieux vaut combiner les deux (çà ne coute pas grand-chose)
Par contre si le MIME foire OK mais alors la taille :heink:
Alors là je comprends plus rien

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed