Discussion :

[viddaa]

Bonjour,

Pardon si l'intitulé est long, je voyais pas comment le decrire autrement :p

j'ai protégé un dossier via htaccess pour accès avec un mot de passe. Ça marche très bien c'est super.
J'ai récemment commencé à m’intéresser à curl, là aussi pas trop de probleme, sauf une chose: en donnant l'url à curl d'une page de ce dossier que je SAIS être protégé, on me retourne un code 200...

Vous allez me dire super ça marche...
Mais non, je voudrais pas que ça marche justement puisque le dossier contenant la page est sensé être protégé.

Je mets mon htaccess au cas où:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
 
 AuthType Basic
AuthUserFile "/tout/est/ok/.htpasswd"
AuthGroupFile /dev/null
 AuthName "identification Internet et utilisateur"
 AuthType Basic
 
order deny,allow
deny from all
require valid-user
satisfy any

quand je passe l'url à curl

http://mon.site.fr/tout/est/ok/

on me retourne bien une erreur 401 mais quand je tape

http://mon.site.fr/tout/est/ok/index.php

on me répond 200 ...

Alors voila, est ce que j'ai loupé un truc?

Est ce normal si j'ai un code 200?

Merci pour tout eclaircissement

[_Mac_]

As-tu accès aux logs d'accès et d'erreur d'Apache ? Si oui, peux-tu donner les traces de ces deux fichiers lorsque tu fais un test avec curl ?

[viddaa]

Les logs d'accès comme d'erreurs sont vides, si je ne me suis pas trompé de dossier. Le plesk de mon hebergeur semble etre en rade du coup pas de logs

En fait curl c'est un truc que j'ai commencé à voir aujourd'hui même. Cela dit, je ne lui demande de recupérer que le code statut et pas son contenu mais n'importe qui connaissant le nom du dossier pourrait faire ses micmac.

C'est juste que si j'arrive à avoir un statut 200 d'une manière quelconque avec une page de ce type, n'est ce pas une faille?

[_Mac_]

Si. Mais c'est intéressant de savoir quelle URL est reçue par Apache et renvoie ce code 200. Parce que si ton .htaccess ne contient que ce que tu as donné et rien d'autre, alors oui, il y a sûrement une faille de sécurité

[viddaa]

voila et c'est là que j'ai des lacunes, entre autre...

alors qu'est ce que j'ai oublié?

Voilà ce que me dit la doc d'apache:

Les directives de configuration situées dans un fichier .htaccess s'appliquent au répertoire dans lequel ce fichier .htaccess se trouve, ainsi qu'à tous ses sous-répertoires. Cependant, il est important de garder à l'esprit qu'il peut y avoir des fichiers .htaccess dans les répertoires de niveau supérieur.

Alors je me dis, feignasse comme je suis, si mon dossier est protégé, tout les fichiers et dossiers qu'il contient seront protégés implicitement, SAUF si je le spécifie explicitement, non?

Sinon il doit y avoir une nuance que je n'ai pas saisie. Dans ce cas please help


Non pas que ce dossier contienne des info top-secrètes mais pour un codeur du dimanche au chômage ça fait toujours bien sur un CV

[_Mac_]

Alors je me dis, feignasse comme je suis, si mon dossier est protégé, tout les fichiers et dossiers qu'il contient seront protégés implicitement, SAUF si je le spécifie explicitement, non?

C'est tout à fait ça.