Discussion :

[rosert]

Bonjour,
j'ai un .htaccess:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
AuthUserFile = "E:\bla\bla\.htpasswd"
AuthName "Accès sécurisé"
AuthType valid-user
Rrquire valid-user
<Files *.php>
order deny,allow
Allow from all
</Files>
<Files *.html>
order deny,allow
Allow from all
</Files>

j'ai même essayé:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<Files *.html>
Satisfy All
Allow from all
</Files>

j'ai placé les balises Files au début et à la fin du fichier sans résultat positif...
Mon problème est que pour n'importe quel accès au site, j'ai une demande d'authentification par login et mot de passe. Or les fichier php et html doivent être accessible de tous.
Ma config est Apache 2 et PHP4 avec SGBD Oracle sous Windows.

Merci d'avance,
Cordialement.

[_Mac_]

Satisfy any, pas Satisfy all.

[rosert]

Oui en effet, fatigue probablement,
j'ai en effet mis Satisfy Any sans résultat.
Quelqu'un voit-il où est le problème?

[_Mac_]

Quelle est ta conf actuelle, celle avec le Satisfy any ?

[rosert]

Merci de t’intéresser à mon problème,
Ma config est Apache 2 et PHP4 avec SGBD Oracle 10g sous Windows.

Merci d'avance,
Cordialement.

[_Mac_]

Conf = contenu du .htaccess

[rosert]

j'ai tellement fait de tentatives infructueuses que je m'y perds. Avec les instructions:
order deny,allow Allow from all
Ne puis-je pas résoudre mon problème? D'après mes recherche c'est très utilisé malheureusement ça ne marche pas chez moi...

Cordialement.

[_Mac_]

Bon. A vue de nez, je mettrais ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
AuthUserFile "E:\bla\bla\.htpasswd"
AuthName "Accès sécurisé"
AuthType valid-user
Rrquire valid-user
<Files *.php>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>
<Files *.html>
    Order allow,deny
    Allow from all
    Satisfy any
</Files>

[rosert]

Merci, je vais tester et je vous tiens au courant

[rosert]

J'ai testé, ça ne marche pas, j'ai toujours la demande de mot de passe pour les fichiers .php. Peut être à cause d'une config dans le httpd.conf? mais j'y ai déjà regardé de fond en comble en vain.

[_Mac_]

Tu accèdes à tes fichiers PHP avec quelle URL ? Le problème se produit-il aussi lorsque tu accèdes à ces fichiers PHP de manière explicite ? http://tonsite.com/repertoire/fichier.php ? (quitte à ce que ce soit index.php)

[rosert]

Bonjour,
j’accède avec www.monsite.com
j'ai essayé www.monsite.com/index.php
Vu que mon index.php fait appel à des images et autres fichiers,c 'est peut être l'accès à des fichiers qui occasionne la demande de mot de passe.
Je me suis resolu a utiliser la config dans Apache.

Merci.

[_Mac_]

En effet : ta config désactive l'authentification pour les fichiers .php et .html mais pas pour les fichiers .jpg par exemple, d'où la demande de mot de passe.

Je n'ai pas compris ta dernière phrase : tu veux dire que le sujet est clos ?

[rosert]

je me pose une question, comment interdire l'accès à un type de fichier via htaccess alors que les pages .php auront besoin de lire ces images ce qui risque d'occasionner la demande de mot de passe? est-ce que ça signifie que ces types de fichier pourront être accessibles de l'extérieur pour peu qu'on en connaisse le chemin?

[_Mac_]

est-ce que ça signifie que ces types de fichier pourront être accessibles de l'extérieur pour peu qu'on en connaisse le chemin?

Oui mais y a quand même moyen.

Pour info, ce n'est pas PHP ou "ta page PHP" qui lisent les images. C'est toujours le navigateur parce qu'il trouve l'URL de l'image dans le code HTML que lui renvoie une URL (en l'occurrence une page PHP mais le navigateur l'ignore totalement).

Ce qu'il faut faire, c'est exploiter ce mécanisme de lecture par le navigateur. La plupart du temps (mais ce n'est pas systématique), un navigateur, lorsqu'il demande une image référencée dans le code HTML d'une page, envoie un en-tête HTML spécial nommé "Referer" dans lequel il indique l'URL de la page dans laquelle il a trouvé la référence de l'image. L'idée consiste tout simplement à vérifier la valeur du Referer et bloqué l'accès s'il ne s'agit pas de ton site. Cela s'appelle une protection contre le hot linking. Ce n'est pas bien compliqué à faire :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
RewriteCond %{REQUEST_URI} \.(gif|jpg|...)$
RewriteCond %{HTTP_REFERER} !^http://ton\.site\.com/
RewriteRule .* - [F]