[Sécurité] Protéger un dossier par mot de passe

duchere · 28/08/2006, 00h36

Bonjour, j'ai un petit problème.. J'espère que quelqu'un pourra m'aider.. Je n'ai aucune idée...

Je stocke dans un dossier des images qui ne doivent être visibles que grâce à un mot de passe.
L'utilisateur s'identifie sur le site, donc fournit le mot de passe, et il peut alors demander à visionner les images.
Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...
La solution serait de mettre un htaccess mais je ne veux pas que l'utilisateur doive donner le mot de passe deux fois !
Est-il possible donc de protéger un dossier et que la saisie du mot de passe soit automatisée par le script puisque l'utilisateur a déjà donné une fois son mot de passe...
Je me suis fait comprendre ?
Pas sur...
Merci d'avance.
Jean

alain31tl · 28/08/2006, 01h28

Citation:

Envoyé par duchere

.............
Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...
.........Jean

Oui c'est vrai, sous réserve qu'il connaisse le nom du répertoire ou sont stockées les images.
Si celà peut arriver, tu intègres un fichier de type :
index.php, ou index.html dans ce même répertoire.
Celui qui accéde à ce répertoire trouvera une page vierge, où une information l’invitant à s’identifier pour accéder au contenu du répertoire/images.
Une page index intégrée dans un répertoire est inévitable.

Et pour ceux qui sont autorisés à lire ces images, tu peux créer un autre fichier ( toujours dans ce répertoire) pour l'affichage effectif des images.

Elwyn · 28/08/2006, 12h37

Tout a fait un simple index.html dansce dossier peut bloquer la vision de l'arborescence. Mais ca n'empechera pas l'aspiration par un logiciel prevu a cet effet mais ca c'est inévitable

Yogui · 28/08/2006, 13h00

Salut

Citation:

Envoyé par Elwyn

ca n'empechera pas l'aspiration par un logiciel prevu a cet effet mais ca c'est inévitable

Non : si le dossier est protégé, alors aucun lien direct n'apparaît sans que l'utilisateur soit connecté. Du coup, un aspirateur ne pourra pas deviner les adresses directes.
Ce qu'il peut se passer, en revanche, est qu'un utilisateur connecté fasse circuler un lien direct vers une image. À partir de là, il est parfois possible de deviner les noms des autres images.

Le seul moyen de protéger efficacement un dossier complet est avec la combinaison .htaccess et .htpassword (aucun rapport avec PHP, il s'agit d'Apache)

ozzmax · 28/08/2006, 15h21

Citation:

Envoyé par Yogui

Le seul moyen de protéger efficacement un dossier complet est avec la combinaison .htaccess et .htpassword (aucun rapport avec PHP, il s'agit d'Apache)

Oui mais a ce moment il retombe dans le meme probleme et devra entrer a nouveau un mots de passe pour acceder au dossier non??

Citation:

Envoyé par duchere

Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...

C'est ca qui me fuck un peu...pk l'utisateur a acces au dossier??...par l'url tu donnes l'acces afin qu'il puisse voir le dossier directement?

pk ne pas faire afficher les photo dans une page...en lisant le contenu du dossier?

Yogui · 28/08/2006, 15h31

Soit tu connais masl l'utilisation du .htaccess/.htpassword, soit ton navigateur te fait des misères

Le fichier .htaccess, en demandant une authentification HTTP, te demande un login/password et vérifie tout cela à l'aide du .htpassord ; si erreur, alors il faut recommencer ; si ok, alors le navigateur se charge de renvoyer automatiquement le couple login/password à chaque chargement de page, un peu à la manière d'un cookie.
Bien sûr, cela augmente la probabilité qu'un "man in the middle" écoute le réseau...

ozzmax · 28/08/2006, 16h04

oki je connais p-e pas toute l'étendu du .htaccess/.htpassword

mais bon je sais que ca garde ta session un peu comme un cookie

je voulais dire par là
si en se loggant sur le site (qui n'est pas protégé par htaccess)... on veut acceder a un dossier qui l'est...alors ce dernier va demande l'authentification puisqu'il n'y a pas de "session enregistré" avec cet htaccess??

et d'après mon post c'était une question..mais merci de m'éclairer pareil

Yogui · 28/08/2006, 16h22

Évidemment, le mot de passe est demandé au moins une fois ! Sans cela, comment veux-tu protéger quoi que ce soit ?

Je voulais dire qu'htaccess ne devrait pas te demander le mot de passe "une deuxième fois", ce qui est exactement ce que notre ami essaie d'éviter.

28/08/2006, 00h36	#1
duchere Invité de passage Inscription : juillet 2004 Messages : 34 Détails du profil Informations forums : Inscription : juillet 2004 Messages : 34 Points : 2 Points : 2	[Sécurité] Protéger un dossier par mot de passe Bonjour, j'ai un petit problème.. J'espère que quelqu'un pourra m'aider.. Je n'ai aucune idée... Je stocke dans un dossier des images qui ne doivent être visibles que grâce à un mot de passe. L'utilisateur s'identifie sur le site, donc fournit le mot de passe, et il peut alors demander à visionner les images. Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images... La solution serait de mettre un htaccess mais je ne veux pas que l'utilisateur doive donner le mot de passe deux fois ! Est-il possible donc de protéger un dossier et que la saisie du mot de passe soit automatisée par le script puisque l'utilisateur a déjà donné une fois son mot de passe... Je me suis fait comprendre ? Pas sur... Merci d'avance. Jean
	00

28/08/2006, 12h37	#3
Elwyn Membre chevronné Ingénieur systèmes et réseaux Inscription : juillet 2006 Messages : 836 Détails du profil Informations personnelles : Sexe : Localisation : France Informations professionnelles : Activité : Ingénieur systèmes et réseaux Informations forums : Inscription : juillet 2006 Messages : 836 Points : 712 Points : 712	Tout a fait un simple index.html dansce dossier peut bloquer la vision de l'arborescence. Mais ca n'empechera pas l'aspiration par un logiciel prevu a cet effet mais ca c'est inévitable __________________ Dire Straits, Bob Dylan, Led Zeppelin, the Who, Pink Floyd, AC/DC, Guns & Roses, the Doors, ...
	00

28/08/2006, 15h31	#6
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Soit tu connais masl l'utilisation du .htaccess/.htpassword, soit ton navigateur te fait des misères Le fichier .htaccess, en demandant une authentification HTTP, te demande un login/password et vérifie tout cela à l'aide du .htpassord ; si erreur, alors il faut recommencer ; si ok, alors le navigateur se charge de renvoyer automatiquement le couple login/password à chaque chargement de page, un peu à la manière d'un cookie. Bien sûr, cela augmente la probabilité qu'un "man in the middle" écoute le réseau... __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

28/08/2006, 16h04	#7
ozzmax Membre émérite Inscription : novembre 2005 Messages : 986 Détails du profil Informations personnelles : Âge : 29 Informations forums : Inscription : novembre 2005 Messages : 986 Points : 863 Points : 863	oki je connais p-e pas toute l'étendu du .htaccess/.htpassword mais bon je sais que ca garde ta session un peu comme un cookie je voulais dire par là si en se loggant sur le site (qui n'est pas protégé par htaccess)... on veut acceder a un dossier qui l'est...alors ce dernier va demande l'authentification puisqu'il n'y a pas de "session enregistré" avec cet htaccess?? et d'après mon post c'était une question..mais merci de m'éclairer pareil __________________ La perfection n'est pas un but, l'amélioration constante devrait l'être! La position des Développeurs de developpez avec les explications
	00

28/08/2006, 16h22	#8
Yogui Rédacteur Guillaume Rossolini Directeur technique Inscription : février 2004 Messages : 13 720 Détails du profil Informations personnelles : Nom : Guillaume Rossolini Localisation : France Informations professionnelles : Activité : Directeur technique Informations forums : Inscription : février 2004 Messages : 13 720 Points : 17 355 Points : 17 355	Évidemment, le mot de passe est demandé au moins une fois ! Sans cela, comment veux-tu protéger quoi que ce soit ? Je voulais dire qu'htaccess ne devrait pas te demander le mot de passe "une deuxième fois", ce qui est exactement ce que notre ami essaie d'éviter. __________________ Mes articles - Zend Certified Engineer (PHP + Zend Framework) Ressources PHP - Ressources Zend Framework
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email