Discussion :

[mrik2fr]

Bonjour,

J'ai un probleme de sécurité sur mon site web.

Voila pour résumer :
Quand on se connecte sur le site ou sur un de ces sous dossiers, une authentification est demandée. Jusque là tout va bien.
Par contre si on pointe directement sur un fichier .zip, (par l'url)(normalement accessible apres l'identification) on peut acceder au fichier, donc sans compte ni mot de passe...

Mon site est développé en PHP5 sous apache, j'utilise un certificat SSL pour la sécurité et l'authentification se fait contre une base de données sur un autre serveur.

Est-ce que vous savez comment faire pour "interdire" l'accès au telechargement en tapant directement l'url du fichier dans le navigateur

Merci pour vos reponses

[gorgonite]

ben a priori, c'est une mauvaise conception du site...

les documents privés (pages ou autre) doivent être protégés par .htaccess Deny from all
et grâce à un script qui ne se lancera que si l'utilisateur est bien logué, on faire des require (pour les pages) ou des readfiles (pour le reste)

[mrik2fr]

Ok ca marche presque... merci
J'ai bien mis un 'Deny from all' dans le fichier httpd.conf et en utilisant la fonction readfile je peux telecharger certains fichiers.

Le probleme c'est lorsque le fichier est un peu volumineux (plus de 3Mo) le telechargement s'interrompt et le fichier et du coup corrompu

Une astuce pour passer ca ?

[gorgonite]

lorsque le fichier est un peu volumineux (plus de 3Mo) le telechargement s'interrompt et le fichier est corrompu

Une astuce pour passer ca ?

si j'ai compris, c'était comme cette question...

ben re-télécharger... à ma connaissance, le protocole http n'a pas prévu de refaire des resume

perso, j'utilise cela sur des fichiers de 2Go... et j'ai rarement de problème

[xerkos]

A mon avis c'est lié à la limite de mémoire allouée pour l'execution de ton script (memory_limit) ou au temps d'execution de ton script (max_execution_time).