Justement, en principe.Envoyé par grunk
- On n'en sait fichtre rien du comment est ou sera structuré son projet.
- De combien d'admin il y aura, de leur connaissance dans ce domaine.
- Du comment sera exploité cet espace, quels type fichiers y seront déposés.
- De même sur le degrés de confidentialité de tous les contenus (quand bien qu'une image présenterait aucun risque, rien ne dit que celle ci ne devra pas être accessible via une banale URL).
Bref, on en sait rien.
Avec ce couple de .ht*, on a même pas besoin de se poser la question : Quelque soit l'URL pointant sur cet espace, une identification sera demandée.
C'est quand même pas un détail.
En admettant maintenant que tout les fichiers Php sont en dehors du virtualhost, et donc que tout transit par l'index.php (routage), et bien ce fichier lui se trouve tout de même dans le virtualhost, et non protégé.
J'ai tendance à dire que s'il y a un fichier à protéger, c'est l'index.php
Avec les .ht*, il le sera.
J'ai jamais rien dis de tel, en plus ce n'est pas le cas.Envoyé par grunk
Lors d'une identification via ce couple .ht*, les login/pass sont stockés immédiatement dans $_SERVER :
$_SERVER['PHP_AUTH_USER']
$_SERVER['PHP_AUTH_PW']
A partir de là, on peut absolument tout faire, tout imaginer.
Comme par exemple créer dans sa Bdd une table "admin" avec les mêmes login/pass, voir donc une table "admin_droits" (ou autre système peu importe).
Une fois l'identification effectué, on vérifie dans foulée au niveau la Bdd, et on récupère les infos dont on a besoin (comme les droits).
Après ça, rien n'empêche d'exploiter les session pour gérer la persistance des données dont on a besoin, je dirais plutôt que l'un complète l'autre, et rajouter un système de token, les mettre en Bdd, etc ...
Bref, on fait ce qu'on veut.
Quelque part, ça fait une double vérification, mais ceci ne fait que ça renforcer d'autant plus la sécurité.
Il n'y a pas une double identification en tout cas.
Toujours est il que je suis étonné que personne ne suggère une protection par .ht*, alors que tous les CMS que j'ai pu parcourir sécurisent le backoffice ainsi, de même que tous les sites de développement il est dit que celle ci est plus sécurisée que les sessions seules.
Si ce n'est pas le cas, alors ça m’intéressais vraiment de savoir pourquoi.
Partager