Sécuriser l'accès à des fichiers (non php) - PHP - Programmation
Marsh Posté le 15-05-2005 à 18:04:35
Et le probleme est???
Marsh Posté le 15-05-2005 à 18:14:59
En fait ce sont des logiciels complets à plusieurs M, tu vois pourquoi ça doit être BLINDE!
Marsh Posté le 15-05-2005 à 18:15:09
Il y a une tonne de doc la dessus, mais tu as raison, faut faire ça avec les htacces, bonne chance
Marsh Posté le 15-05-2005 à 18:18:30
Heu je débute en PHP (mais pas en prog):
Une question me viens à l'esprit, comment empêcher l'affichage de la fenêtre de login affichée par le système de gestion ht-acces (si j'ai bien compris son fonctionnement) alors que l'utilisateur c'est déja authentifié?
Marsh Posté le 15-05-2005 à 18:20:37
il l'affiche plus tant que tu ferme pas ta fenetre. c'est bien foutu hein?
Marsh Posté le 15-05-2005 à 18:23:03
oui effectivement ça l'est. Il suffit donc de mettre ma page de login dans le répertoire sécurisé avec les fichiers c'est ça?
Marsh Posté le 15-05-2005 à 18:24:13
esox_ch: tu sembles en savoir long sur le sujet, a tu des liens à me passer STP?
Marsh Posté le 15-05-2005 à 18:25:52
"page de login", faut voir ce que tu entend par là. il faut juste mettre un fichier .htaccess (et .htpasswd)
tape "htaccess" sur google et lis.
edit:
et je plussois ce qu'à dit esox, il te faut imperativement du htaccess et aucune autre methode d'authentification. c'est sans aucun doute la solution la plus fiable si tes programmes sont si couteux.
Marsh Posté le 15-05-2005 à 18:27:41
Perso je gere pas les autorisations avec htacces + htpassword parceque j'aime pas ne pas savoir qui accede quand &co, et vu que les logs apache sont pas toujours à dispo ... En general je deplois ça autrement ... Mais matte un peu sur le net la doc su htaccess ,tu y trouve facilement tout ce qui peut servire
Marsh Posté le 15-05-2005 à 18:30:21
il est obligé de faire avec htaccess de toute façon. sinon on va lui aspirer ses programmes.
Marsh Posté le 15-05-2005 à 18:32:15
bon je résume l'architecture:
module libre d'accès -> page d'authentification -> module de téléchargement réservés uniquement aux membres.
le module de téléchargement compte plusieurs pages php.
la page d'authentification est une page perso (pas celle de htacces).
Les utilisateurs appartiennent à des catégories différentes Chaque catégorie à des droits différents.
Utilisateurs et mots de passe sont gérés dans la base de données.
Utilisation des Sessions
Marsh Posté le 15-05-2005 à 18:33:22
Oui je pense. Pour plus d'info http://fr2.php.net/features.http-auth.
( slash33 : Il y a un bouton "éditer"(une feuille avec une gomme) qui permet d'éviter de poster un message pour corriger le message que l'on a posté. )
Marsh Posté le 15-05-2005 à 18:34:38
Donc ma contrainte, est comme esox_ch, de savoir QUI se log pour déterminer ses droits.
Marsh Posté le 15-05-2005 à 18:36:09
Ca tu peux soit essayer de te la jouer un peux avec les permissions & co, soit faire une interface php qui viendra se poser par dessus de ton htaccess
Marsh Posté le 15-05-2005 à 18:36:59
nan. ça c'est bien pour proteger l'accès à des pages. pour des programmes moi j'frais pas comme ça.
--> moi jdis htaccess c'est tout.
tes programmes peuvent être telechargés par des logiciels dédiés à distance. le htaccess leur coupe la connexion alors que ton fichier avec du code php (que ce soit super bien fait, avec des sessions et blablabla) n'y fera rien.
Marsh Posté le 15-05-2005 à 18:38:21
Et c'est la que tu te plantes . Je parle pas de pages secretes ou les liens seront recenssés, je parle d'un deny all dans le htacces et que seulement apres t'etre identifié tu puisse les chopper ..
Marsh Posté le 15-05-2005 à 18:39:01
esox_ch a écrit : Ca tu peux soit essayer de te la jouer un peux avec les permissions & co, soit faire une interface php qui viendra se poser par dessus de ton htaccess |
Cela me semble être une alternative interessante, comment fais-tu dans la pratique?
Marsh Posté le 15-05-2005 à 18:39:55
Bein la je te renvoie a des tutoriaux PHP, je peux pas t'apprendre en directe comment creer une interface d'autentification .. c'est ... relativement long
Marsh Posté le 15-05-2005 à 18:40:49
esox_ch a écrit : Bein la je te renvoie a des tutoriaux PHP, je peux pas t'apprendre en directe comment creer une interface d'autentification .. c'est ... relativement long |
D'accord mais t'as pas un lien STP?
Marsh Posté le 15-05-2005 à 18:46:00
La doc sur www.php.net, y a une section securité
et jepense que sur tout bon site genre developpez il doit y avoir de quoi faire
Marsh Posté le 15-05-2005 à 18:47:59
D'ac je regarderais dans le détail, merci à tous pour la participation.
Marsh Posté le 15-05-2005 à 19:16:23
Une solution:
1. mettre tes logiciels dans un repertoire avec un "deny from all"
2. le telechargement pourra se faire via un script php qui acceptera le telechargement si des variables de sessions attestent de l'identite de la personne.
3. une interface de login/pass pas franchement difficile a mettre en place qui cree les variables de sessions qui vont bien si la personne a mis les bons login/pass.
En klk mots :
Pour recuperer tes fichiers via HTTP une seule solution : le script php qui passe outre le .htaccess et qui verifient la presence des bonnes variables de sessions pour autoriser le telechargement.
Marsh Posté le 15-05-2005 à 20:34:39
esox_ch a écrit : Et c'est la que tu te plantes . Je parle pas de pages secretes ou les liens seront recenssés, je parle d'un deny all dans le htacces et que seulement apres t'etre identifié tu puisse les chopper .. |
ué ué on se comprend. j'insistais sur le htaccess. après comment tu bidouille on s'en branle.
Marsh Posté le 16-05-2005 à 00:06:14
C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin.
La mise en place d'une section en ssl me parait deja mieux.
Marsh Posté le 16-05-2005 à 00:11:27
cerel a écrit : C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin. |
C'est clair qu'apres on peut broder . Mais la piste que j'ai proposé n'empeche en rien le ssl
Marsh Posté le 17-05-2005 à 12:00:09
cerel a écrit : C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin. |
Est-ce indispensable, si les mots de passe sont cryptés?
Marsh Posté le 17-05-2005 à 12:02:05
afbilou a écrit : Une solution: |
Comment est-il possible de passer outre le htaccess justement
Marsh Posté le 17-05-2005 à 13:40:52
Chase a écrit : On peut passer outre, quand les fichiers sont lus du côté serveur (donc par PHP !) |
Bon à savoir
Marsh Posté le 17-05-2005 à 13:43:33
Faut m'expliquer comment on pourrait lire une fichier qui se trouve dans une directory "deny all" sinon
Marsh Posté le 17-05-2005 à 14:02:44
esox_ch a écrit : Faut m'expliquer comment on pourrait lire une fichier qui se trouve dans une directory "deny all" sinon |
Par FTP par ex?
Marsh Posté le 17-05-2005 à 14:09:18
Je parlais toujours du monde php...
Marsh Posté le 17-05-2005 à 14:27:59
Peut être que ça n'a rien à voir, mais ça pourrait t'aider :
le "script" (à son niveau, on peut plus appelé ça un script ) de gallery2 (gallery.sf.net) fonctionne sur un principe intéressant.
Les photos ne sont pas accessibles directement, elles sont stockées sur un dossier qui n'est pas dans le htdoc d'Apache.
Donc, il est obligatoire de passer par le php pour y accéder. Ça me semble répondre à ce que tu veux : tu te fais pas chier avec des .htaccess, et tu gères tes droits facilement.
Après, je sais pas si c'est applicable pour des fichiers (même si à priori, je ne vois pas pourquoi ça ne le serait pas)...
Voilà, peut être une autre piste
Marsh Posté le 17-05-2005 à 18:33:35
Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site?
Marsh Posté le 17-05-2005 à 20:56:07
slash33 a écrit : Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site? |
Toutafé, tu peux pas le faire
Marsh Posté le 18-05-2005 à 00:51:25
slash33 a écrit : Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site? |
Ah ok, tu peux pas faire ce que tu veux
Tu peux pas lui demander ? Si c'est le site de ta boite, tu dois pouvoir t'arranger
Marsh Posté le 18-05-2005 à 07:51:51
Gurney_Halleck a écrit : Ah ok, tu peux pas faire ce que tu veux |
Si vous plait! Vous me laissez l'acces a /usr/sbin ? J'aimerais placer des trucs laba dedans
Marsh Posté le 18-05-2005 à 08:59:08
Donc il vaux mieux les conserver dans le dossier htdocs
et faire un ftp pour mettre à jour les fichiers?
Marsh Posté le 15-05-2005 à 18:03:41
Je dois réaliser un module sécurisé dans un site web en PHP/MySQL
Seuls les utilisateurs habilités (identification par login/mot de passe) peuvent accéder à une section téléchargement à partir de laquelle il peuvent obtenir des fichiers.
Bien entendu les fichiers téléchargeables sont situés dans un répertoire du serveur MySQL. L'utilisateur non habilité ne doit pas être en mesure de télécharger ces fichiers (en saisissant le chemin dans le navigateur par ex.)
Il semble qu'une solution à base de ht-acces soit envisageable mais pose quelques problèmes d'utilisation.