IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Apache Discussion :

[Htaccess] Problème de gestion d'accès avec image et fichiers inclus


Sujet :

Apache

Vue hybride

Message précédent Message précédent   Message suivant Message suivant
  1. #1
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Mars 2007
    Messages
    178
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2007
    Messages : 178
    Par défaut [Htaccess] Problème de gestion d'accès avec image et fichiers inclus
    Bonjour,

    après des recherches approfondies, j'ai remarqué que mon problème est relativement récurrent, mais je n'ai jamais trouvé de réponse.

    Je rencontre en fait deux problèmes :

    1er problème :
    --------------------------------
    Voilà, j'ai un site web avec une arborescence bien précise... on trouve un dossier "public" pour tout ce qui est directement accessible, et un dossier "prive" pour le reste... J'ai donc créé un .htaccess à la racine de "prive", pour interdire l'accès aux fichiers que ce dossier contient...

    Seulement, voilà, ma page publique inclut certains fichiers (qui sont dans prive/include) et affiche une image (qui est dans prive/images), et je n'ai trouvé que deux possibilités :

    1) j'autorise l'accès total aux fichiers à inclure, et aux images à afficher
    2) je bloque l'accès aux fichiers d'inclusion afin que les utilisateurs ne puissent pas les visualiser en rentrant leurs URL (mais l'inclusion serait impossible alors, non ?)

    Seulement, je voudrais que l'accès aux fichiers d'inclusion soit interdit si et seulement si l'utilisateur tente de saisir l'url directement de ceux-ci (ce qui donnerait quelque chose comme http://monsite.com/prive/include/ainclure.inc.php), et autorisé sans condition quand ma page publique les inclut !

    Je dois avouer que je sèche un peu sur ce point...


    2ème problème :
    --------------------------------

    Mon .htaccess de mon dossier "prive" interdit l'accès à tous les fichiers appartenant à celui-ci. En plus du problème évoqué plus haut, je souhaiterais qu'un fichier spécial (en url, ça donnerait qqch comme http://monsite.com/prive/admin/admin.php) soit accessible par login/mdp...
    pour se faire, j'ai donc créé un deuxième .htaccess dans le dossier "admin", qui demande la saisie d'un login/mdp pour accéder à admin.php...

    malgré mon deuxième .htaccess, quand j'essaye d'accéder à la page admin.php, le navigateur me renvoie une erreur de type 403 (accès interdit)...

    Je vous présente rapidement l'arborescence de mon site :

    public
    pageincluante.php
    prive
    .htaccess
    admin
    .htaccess
    .htpasswd
    admin.php
    css
    form
    images
    imageaafficher.jpg
    include
    ainclure1.inc.php
    ainclure2.inc.php




    Voici le .htaccess à la racine de "prive" (pour les exceptions que sont les fichiers à inclure, j'ai pour l'instant choisi d'autoriser l'accès sans condition à ceux-ci, ce qui ne me satisfait ds le cas d'une saisie directe de l'url par l'utilisateur)
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    order deny,allow
    deny from all
    <files ainclure1.inc.php>
    order deny,allow
    allow from all
    </files>
    <files imageaafficher.jpg>
    order deny,allow
    allow from all
    </files>
    <files ainclure2.inc.php>
    order deny,allow
    allow from all
    </files>
    Voici le second .htaccess, situé dans "prive/admin", qui ne fonctionne pas...
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    <files admin.php>
    AuthName "Authentification requise"
    AuthType Basic
    AuthUserFile "[...]\prive\admin"
    Require valid-user
    </files>
    Rq : je développe sous Windows en local actuellement, d'où l'utilisation des '\' dans le chemin absolu

    Merci d'avance de votre aide !

    Rolf IV

  2. #2
    Membre averti
    Profil pro
    Inscrit en
    Novembre 2006
    Messages
    64
    Détails du profil
    Informations personnelles :
    Localisation : France, Paris (Île de France)

    Informations forums :
    Inscription : Novembre 2006
    Messages : 64
    Par défaut
    pour ton dossier include, un allow from localhost devrait résoudre le probleme (si c'est bien une inclusion php).

    Pour la 2eme question, plustot que d'aller faire un 2eme .htaccess, pourquoi d'inclue tu pas une règle pour le fichier concerné autorisant un accès via mot de passe ?

  3. #3
    Membre expérimenté

    Profil pro
    Inscrit en
    Juin 2002
    Messages
    6 152
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Juin 2002
    Messages : 6 152
    Par défaut
    Citation Envoyé par Rolf-IV
    1er problème :
    --------------------------------
    Voilà, j'ai un site web avec une arborescence bien précise... on trouve un dossier "public" pour tout ce qui est directement accessible, et un dossier "prive" pour le reste... J'ai donc créé un .htaccess à la racine de "prive", pour interdire l'accès aux fichiers que ce dossier contient...

    Seulement, voilà, ma page publique inclut certains fichiers (qui sont dans prive/include) et affiche une image (qui est dans prive/images), et je n'ai trouvé que deux possibilités :

    1) j'autorise l'accès total aux fichiers à inclure, et aux images à afficher
    2) j'impose de saisir un login/mdp à tout le monde, pour que l'inclusion se passe bien

    Seulement, je voudrais que l'accès aux fichiers d'inclusion soit interdit si et seulement si l'utilisateur tente de saisir l'url directement de ceux-ci (ce qui donnerait quelque chose comme http://monsite.com/prive/include/ainclure.inc.php), et autorisé sans condition quand ma page publique les inclut !

    Je dois avouer que je sèche un peu sur ce point...
    Strictement inutile : l'inclusion passe normalement (sinon c'est une grave erreur) non pas par une URL HTTP (donc géré par le serveur) mais par le système de fichier directement.


    Citation Envoyé par Rolf-IV
    2ème problème :
    --------------------------------

    Mon .htaccess de mon dossier "prive" interdit l'accès à tous les fichiers appartenant à celui-ci. En plus du problème évoqué plus haut, je souhaiterais qu'un fichier spécial (en url, ça donnerait qqch comme http://monsite.com/prive/admin/admin.php) soit accessible par login/mdp...
    pour se faire, j'ai donc créé un deuxième .htaccess dans le dossier "admin", qui demande la saisie d'un login/mdp pour accéder à admin.php...

    malgré mon deuxième .htaccess, quand j'essaye d'accéder à la page admin.php, le navigateur me renvoie une erreur de type 403 (accès interdit)...

    [...]

    Voici le second .htaccess, situé dans "prive/admin", qui ne fonctionne pas...
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    <files admin.php>
    AuthName "Authentification requise"
    AuthType Basic
    AuthUserFile "[...]\prive\admin"
    Require valid-user
    </files>
    Le chemin de la directive AuthUserFile est certainement faux, il doit pointer vers votre fichier de logins/mdp (généralement d'extension .htpasswd par convention et ce qui lui permet d'être protégé par défaut). Notez que si vous avez accès aux logs ils vous en diront probablement plus et que vous héritez, je pense, de la directive :
    Code : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    order deny,allow
    deny from all
    De votre répertoire parent (donc accès bloqué pour tous).

  4. #4
    Membre confirmé
    Homme Profil pro
    Inscrit en
    Mars 2007
    Messages
    178
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations forums :
    Inscription : Mars 2007
    Messages : 178
    Par défaut
    je me suis trompé dans mon énoncé...

    je voudrais que les fichiers soient inclus dans la page incluante, mais que les utilisateurs ne puissent pas accéder aux fichiers à inclure en passant par leur URL...

    (je vais éditer mon premier message de ce pas)

Discussions similaires

  1. Réponses: 0
    Dernier message: 30/11/2008, 09h10
  2. Problème de gestion des langues avec MFC
    Par Figaro dans le forum Visual C++
    Réponses: 4
    Dernier message: 20/11/2006, 15h56
  3. [Upload] Problème pour gestion d'erreur avec class
    Par allserv dans le forum Langage
    Réponses: 2
    Dernier message: 27/12/2005, 13h00
  4. Problème de gestion de chaînes avec pointeur
    Par LorDjidane dans le forum C
    Réponses: 18
    Dernier message: 19/10/2005, 15h40
  5. [TFrame] Problème de gestion du OnMouseDown avec une Frame
    Par xherault dans le forum Composants VCL
    Réponses: 5
    Dernier message: 23/05/2003, 15h35

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo