Discussion :

[K20]

Bonjour,

Je me pose une question : est-ce que la sécurisation de l'accès à une page par .htaccess et .htpasswd et vraiment inviolable ou vaut-il mieux utiliser une protection par formulaire PHP avec comparaison de mot de passe (stocké en SAH1) ?

Merci d'avance

[Alain Defrance]

Sans hésitation la deuxième solution (a condition de faire bien les choses).

[K20]

Ok, mais pourquoi ? :p

[Alain Defrance]

Ok, mais pourquoi ? :p

Oulah oui excuse moi

Je dirais que les authentifications par htaccess présente plusieurs défaut.
La première est qu'il est difficile d'automatiser les actions sur les comptes autorisés (pas d'interaction avec une éventuelle base de données).
Ensuite au niveau de la sécurité ce type d'identification n'est pas satisfaisante car il est impossible de stocker les adresse ip par exemple des visiteurs, ni toute autre information le concernant.
Pour finir les login et mot de passe (pouvait tout me même être cryptées) sont directement écrite dans un fichier. De ce faire le moindre exploit de failles peut permettre a un hacker de lire ce contenu.

Je déconseille donc l'utilisation du htaccess, mais ce n'est que mon point de vue. Son utilisation peut se justifier.

[K20]

Le truc c'est qu'en PHP il suffit d'une petite erreur et paf on peut également avoir accès aux mots de passe alors que je trouve qu'vaec les .htaccess c'est plus compliqué, si on met le .htpasswd dans un dossier différent non accessible.

[Alain Defrance]

Le truc c'est qu'en PHP il suffit d'une petite erreur et paf on peut également avoir accès aux mots de passe alors que je trouve qu'vaec les .htaccess c'est plus compliqué, si on met le .htpasswd dans un dossier différent non accessible.

C'est un point de vue qui se défend.
En toute objectivité je pense que en fin de compte ça dépend des préférences, et que si l'on porte peu d'attention a l'identification, le .htaccess peut être une solution correcte.

[K20]

Ok, donc tu as le même avis que moi, va falloir que je me décide ^^