IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

"Craker" mdp .htaccess : possible ?


Sujet :

Apache

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre averti
    Homme Profil pro
    Retraité
    Inscrit en
    Août 2022
    Messages
    45
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loir et Cher (Centre)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Août 2022
    Messages : 45
    Par défaut "Craker" mdp .htaccess : possible ?
    Bonjour
    Non je ne cherche pas à entrer dans un répertoire protégé par un .htaccess.
    Je souhaite seulement savoir si cela est possible car j'envisage de mettre en place un espace "admin" sur mon site à venir et j'imaginais le faire avec un sous domaine protégé par un login/pass dans un fichier .htaccess car j'imagine que cela est plus "sur" qu'un espace admin sur le dossier principal, une sorte d'espace membre ..
    Est-ce la meilleure solution ?
    Tous vos conseils sont les bienvenus.
    D'avance merci

  2. #2
    Membre Expert
    Profil pro
    Inscrit en
    Mai 2006
    Messages
    721
    Détails du profil
    Informations personnelles :
    Localisation : Belgique

    Informations forums :
    Inscription : Mai 2006
    Messages : 721
    Par défaut
    On peut "cracker" l'accès par force brute, tout dépend de la robustesse du mot de passe. Pour empêcher ce genre d'attaque, il faut donc un mot de passe solide et de préférence mettre en place des outils de type fail2ban pour bannir les adresses IP qui seraient à l'origine d'attaques "brute force".

    Mais au minimum vous devriez utiliser TLS (https) pour protéger le mot de passe en transit.

    Ceci dit l'authentification HTTP basic est une manière plutôt vieillotte. Voyez du côté des variantes comme digest auth.
    Un inconvénient est que le navigateur garde le mot de passe en cache et le retransmet à chaque requête, ce qui peut augmenter la surface d'attaque: il suffit d'une seule requête non TLS pour le mot de passe "fuite". En tout cas en auth basic le couple user/password est tout simplement codé en base64 et donc réversible instantanément. Tandis qu'en digest auth ça demandera plus d'effort.

    Aujourd'hui la norme est plutôt de travailler avec des sessions avec cookies et des tokens.

    De plus, il peut y avoir des techniques pour contourner cette "protection". Un cas classique est lorsque le .htaccess couvre seulement les méthodes POST ou GET alors qu'un attaquant peut utiliser une autre méthode ("verb"). Voici un article qui explique la faille: Tampering HTTP methods to bypass HTTP Basic Authentication

    Un exemple d'outil: Forbidden

  3. #3
    Membre averti
    Homme Profil pro
    Retraité
    Inscrit en
    Août 2022
    Messages
    45
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loir et Cher (Centre)

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Août 2022
    Messages : 45
    Par défaut
    Merci pour cette réponse on ne peut plus claire.

+ Répondre à la discussion
Cette discussion est résolue.

Discussions similaires

  1. Redirection .htaccess possible avec ce pattern ?
    Par LWKTECH dans le forum Apache
    Réponses: 0
    Dernier message: 22/03/2020, 09h29
  2. [IIS] .htaccess possible ?
    Par wolflinger dans le forum IIS
    Réponses: 3
    Dernier message: 16/01/2007, 12h10
  3. Quote dans une requete...
    Par Isildur dans le forum Langage SQL
    Réponses: 6
    Dernier message: 20/06/2006, 10h57
  4. VARCHAR contenant une quote '
    Par tonyskn dans le forum Langage SQL
    Réponses: 2
    Dernier message: 29/05/2003, 19h21
  5. Quotes dans TFilenameEdit (RXLib)
    Par AnnSo dans le forum Composants VCL
    Réponses: 3
    Dernier message: 23/01/2003, 20h26

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo