Discussion :

[oclone]

Bonjour, j'aimerais sécuriser l'acces à des documents et j'ai donc fait un .htaccess qui ressemble à ça :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
ErrorDocument 403 : Acces refusé
AuthUserFile {D:\EasyPHP1-8\www\SiteMOCQAT\.htpasswd}
AuthName "Fichier pour sécuriser l'accès au site"
AuthType Basic
<LIMIT GET POST>
Require valid-user
</LIMIT>

Et un fichier .htpasswd qui ressemble à ca :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

admin:root

Mais voilà ça ne marche pas du tout (ça charge dans le vide...)
Où est l'erreur?
merci

[_Mac_]

Bonjour,

Plusieurs choses : dans AuthUserFile, il faut mettre des ", pas des {} et mettre des / à la place des \. Ensuite, il faut chiffrer tes mots de passe (tu ne peux pas les écrire en clair dans ton fichier de mots de passe). Pour cela, il faut que tu utilises le programme htpasswd (répertoire apache\bin). Tu peux regarder ce tuto pour voir comment faire.

[oclone]

Alors pour le cryptage du mot de passe j'ai utilisé le script suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
if (isset($_POST['login']) AND isset($_POST['pass']))
{
    $login = $_POST['login'];
    $pass_crypte = crypt($_POST['pass']); // On crypte le mot de passe

    echo 'Ligne à copier dans le .htpasswd :<br />' . $login . ':' . $pass_crypte;
}

else // On n'a pas encore rempli le formulaire
{
?>
</p>

<p>Entrez votre login et votre mot de passe pour le crypter.</p>

<form method="post">
    <p>
        Login : <input type="text" name="login"><br />
        Mot de passe : <input type="text" name="pass"><br /><br />
    
        <input type="submit" value="Crypter !">
    </p>
</form>

<?php
}
?>

Est ce que c'est facile à décrypter?

Pour le reste merci

Tant que j'y suis j'ai aussi une question con: j'ai fais mon site sous forme d'un tableau avec dans une case le menu et dans une autre case les pages sur lesquels pointent les éléments du menu mais voila je ne sais pas comment lui dire que quand je clique sur mon lien il m'affiche la page correspondante dans la bonne case du tableau

merci

[_Mac_]

Oui et non. Par défaut, crypt fait un chiffrement DES et il me semble que c'est réversible.

Le mot de passe ainsi chiffré marche dans ton fichier .htpasswd ?

[oclone]

Oui ça marche comme ça.

Il y a un meilleur moyen?

[_Mac_]

Je sais pas trop. J'aurais tendance à dire que non car je ne suis pas sûr qu'Apache sache utiliser et faire la différence entre plusieurs algo de chiffrement.

Dans l'absolu, il faut que tu protèges ton fichier de mots de passe en le mettant dans un répertoire seul dans lequel tu mets un .htaccess avec Deny from all. Comme ça, même si Apache protège déjà tous les fichiers .ht*, tu es sûr que ton fichier ne pourra pas être téléchargé.

[oclone]

J'ai un autre petit problème :
pour le moment j'autorise l'acces lorsque le couple user-mot de passe se trouve dans mon fichier htpasswd.

Mais voila ce qu'il me faudrait c'est que tout les users soit accepté mais avec seulement un (ou plusieurs) mot de passe car au moment où une personne s'est loggé il faudrait que j'envoi à une personne un mail lui disant que 'contenu du champ user' s'est connecté :/

Si quelqu'un peut m'aider ou me dire ou je peux trouver de la doc sur le sujet merci

[_Mac_]

J'ai pas compris : tu veux que tout le monde ait le même mot de passe ou bien tu veux envoyer un mail lorsque qq'1 se connecte ?

[oclone]

En fait je ne veux pas de contrôle sur le nom de l'utilisateur (seulement sur le mot de passe) car je ne connais pas le nom de toutes les personnes qui peuvent avoir accès mais il faut que je puisse récupérer ce nom.

J'espère que c'est plus clair

[_Mac_]

Si tu programmes en PHP, tu récupères le login de l'utilisateur dans $_SERVER["PHP_AUTH_USER"].

[oclone]

ok, oui je programme en php. Merci pour ta réponse.

Est ce que tu saurais comment faire pour ne pas contrôler le user entré mais seulement le mot de passe? (Ou où trouver de la doc la dessus)
merci

[_Mac_]

A mon avis, c'est pas possible simplement avec un .htaccess car ce n'est pas le fonctionnement standard du module Apache : le module veut forcément un couple utilisateur/mot de passe valide. A mon avis, si tu ne veux vraiment contrôler que le mot de passe, faut que tu réécrives l'authentification basique avec PHP. Comme ça, tu pourras ne contrôler que le mot de passe, mais c'est pénible à faire, surtout qu'il va falloir mettre du code dans chaque page à protéger et ça ne protégera pas tout (les images par exemple).

[oclone]

ok, bon je vais essayer de trouver une autre solution. Merci pour ton aide