[Sécurité] Sécuriser un lien vers une ouverture de fichier texte

[maverick56]

bonjour
alors je sais pas vraiment ou poster cette question ... j'espere etre au bonne endroit !!

voila, je m'explique :
j'ai un serveur apache, un site web avec des liens vers des fichiers text. Les lien permettent d'ouvrir mon fichier text dans mon navigateur.
pour acceder au site ouai un login est necessaire. gestion par session.

mon probleme c'est que pour acceder a mes fichiers text, le login n'est pas necessaire.
si on connait le lien et qu'on essaie d'y acceder sans login ... sa marche !

-> comment est se que je pourrais sécuriser sela ???

merci

[sohnic]

Bonjour,
Si tu gères ton site par session, au lieu de donner acces directement au fichier texte, tu fais accéder tes clients a une page php (qui donc gere les sessions et autorise ou non l'accès). Si l'authentification est bonne alors tu ouvres le fichier texte (un fread par exemple) et tu l'affiches, ou bien tu le proposes en telechargement (voir dans la FAQ, c'est tres bien expliqué). En cas de telechargement, pour plus de securité, donne un autre nom à ton fichier que le nom réel, sinon tu risques de retomber sur le meme probleme.

J'espere que c'est clair.....

Sohnic

[maverick56]

merci pour ta reponce sohnic.

j'avais pensé au coup de généer une page php avec le texte du fichier text...
mais meme si il devient plus difficile de connaitre la bonne adresse, on pourra tjs acceder aux fichiers txt comme je le faisais précédemment non ?
y a-y-il pas qqch que je puisse faire dans phpmyadmin pour contrer ca ?

merci

[sohnic]

La solution, si tu fais un fread est de mettre tes fichiers texte en dehors de l'arborescence des sites web (sous linux, dans un repertoire au dessus de html). Le tout etant qu'apache ait les droits de lecture sur ces fichiers.
Si ca peut t'aider....
S.

[maverick56]

merci, mais
les fichiers textes en questions sont générer par un autre logiciel (matlab) et malheureurement je ne peux pas choisir ou les mettre ... c'est donc dans mon arborescence web ...

une autre idée !?!

-> est-ce possible d'empecher mysql d't avoir acces meme si ils sont dasn l'arbo web ??

[sohnic]

Je ne vois pas en quoi mysql accede ou n'accede pas a un repertoire. C'est plutot apache ton probleme.
Tu peux toujours mettre un .htaccess au repertoire ou sont stockés les fameux fichiers....

S.

[maverick56]

comment je peux faire ca ??

[mathieu]

tu mets un fichier .htaccess avec le contenu suivant, ça interdira l'accès à tout le répertoire à partir du web

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Deny from All

[maverick56]

voila comment j'ai configurer mon .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
AuthUserFile mdp.FichierDeMotDePasse
AuthGroupFile /dev/null
AuthName "Données sensibles, accès sécurisé"
AuthType Basic
<LIMIT GET POST>
	Require valid-user
</LIMIT>

pour le moment ca ne marche pas ... je continue a chercher !

merci merci pour votre aide

[maverick56]

alors ca marche pour bloquer l'accès a une page web, par contre je voudrais bloquer l'acces à des fichiers *.d, j'ai donc fait ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
	AuthName "Données sensibles, accès sécurisé"
	AuthType Basic
	AuthUserFile "D:/SOFTS/EasyPHP/www/tafia/recherche/mdp.FichierDeMotDePasse"
	Require valid-user

mais j'y ai tjs acces ...

comment faire ?
merci