Discussion :

[SP506]

Bonjour
Non je ne cherche pas à entrer dans un répertoire protégé par un .htaccess.
Je souhaite seulement savoir si cela est possible car j'envisage de mettre en place un espace "admin" sur mon site à venir et j'imaginais le faire avec un sous domaine protégé par un login/pass dans un fichier .htaccess car j'imagine que cela est plus "sur" qu'un espace admin sur le dossier principal, une sorte d'espace membre ..
Est-ce la meilleure solution ?
Tous vos conseils sont les bienvenus.
D'avance merci

[binarygirl]

On peut "cracker" l'accès par force brute, tout dépend de la robustesse du mot de passe. Pour empêcher ce genre d'attaque, il faut donc un mot de passe solide et de préférence mettre en place des outils de type fail2ban pour bannir les adresses IP qui seraient à l'origine d'attaques "brute force".

Mais au minimum vous devriez utiliser TLS (https) pour protéger le mot de passe en transit.

Ceci dit l'authentification HTTP basic est une manière plutôt vieillotte. Voyez du côté des variantes comme digest auth.
Un inconvénient est que le navigateur garde le mot de passe en cache et le retransmet à chaque requête, ce qui peut augmenter la surface d'attaque: il suffit d'une seule requête non TLS pour le mot de passe "fuite". En tout cas en auth basic le couple user/password est tout simplement codé en base64 et donc réversible instantanément. Tandis qu'en digest auth ça demandera plus d'effort.

Aujourd'hui la norme est plutôt de travailler avec des sessions avec cookies et des tokens.

De plus, il peut y avoir des techniques pour contourner cette "protection". Un cas classique est lorsque le .htaccess couvre seulement les méthodes POST ou GET alors qu'un attaquant peut utiliser une autre méthode ("verb"). Voici un article qui explique la faille: Tampering HTTP methods to bypass HTTP Basic Authentication

Un exemple d'outil: Forbidden

[SP506]

Merci pour cette réponse on ne peut plus claire.