Discussion :

[Olivier Regnier]

Bonjour

Parmis ceux qui utilisent les fichiers .htaccess et .htpasswd pour protéger par exemple un répertoire, quel est selon vous la meilleure solution:

• Placer les fichiers .htaccess et .htpasswd et sécuriser les deux fichiers comme suit (code à palcer dans le .htaccess):
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  4
  5
  6
  SetEnvIfNoCase Request_URI \.ht(access|passwd)$ ban
  <Files ~ "^.*$">
  order allow,deny
  allow from all
  deny from env=ban
  </Files>

• Créer un répertoire pour y stocker le .htpasswd et ajouter un .htaccess avec le code suivant:
  

  Code :

  Sélectionner tout - Visualiser dans une fenêtre à part

  1
  2
  3
  <Files *>
  Deny from all
  </Files>

Ou bien une autre méthode ?

Merci d'avance

[julp]

Par défaut tout fichier commençant par .ht est protégé par les directives suivantes dans le fichier de configuration d'Apache :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<FilesMatch "^\.ht">
    Order allow,deny
    Deny from all
</FilesMatch>

Cependant, si tu en as la possibilité, tu peux tout à fait placer le fichier .htpasswd en dehors de la racine web puisque dans ton fichier .htaccess tu en indiques le chemin. Ce sera ainsi encore moins problématique mais ce n'est malheureusement pas possible partout (hébergeur mutualisé notamment).

[Olivier Regnier]

Salut

Justement, chez OVH, je ne peux pas placer le .htpasswd en dehors de la racine web, l'accès y est refusé. Je pensais utiliser la première solution, cela m'évite de créer un deuxième répertoire et d'y ajouter un autre .htaccess.

Merci

[julp]

Oui bien que c'est théoriquement redondant (ce qui n'est pas forcément un mal) avec la configuration globale du serveur. Toutefois, tu peux faire vraiment plus direct en utilisant une expression régulière adaptée avec la directive FilesMatch (à préférer à Files) plutôt que de tester en plus les variables (SetEnvIfNoCase) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
<FilesMatch "^\.ht(access|passwd)$">
    Order allow,deny
    Deny from all
</FilesMatch>

(voir aussi l'autre plus haut)

[Olivier Regnier]

Ok, il est vrai que c'est plus court. Je vais opter pour cette solution.

Merki