[Sécurité] htaccess

**diaboloche** · 17/10/2005, 21h43

Voilà dernier poste de la soirée

Est ce que quelqu'un peut me dire comment faire un .htaccess en local ?
Windows n'accepte déjà pas les . pour commencer un nom de fichier...
Je suppose qu'en modifier php.ini il doit y avoir moyen... quelqu'un peut m'aider ?

Merci. Bonne soirée !

**pierre50** · 17/10/2005, 22h53

tu montes ton fichier nommé htaccess avec ton outil ftp sur un serveur (free, wanadoo...) tu renommes sur ce serveur distant en .htaccess avec ton outil FTP et tu redescend le fichier en local

**ChM@** · 17/10/2005, 23h34

Sinon, tu te fais un petit script php :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
$f_url_rewriter = @fopen('.htaccess', 'w');
@fclose($f_url_rewriter);

**diaboloche** · 18/10/2005, 08h14

Je vais essayer ca, merci

**diaboloche** · 18/10/2005, 19h35

Ok ca marche bien...

maintenant j'ai un autre problème. Je veux crypter mes password...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
 
 
<p>
<?
if (isset($_POST['login']) AND isset($_POST['pass']))
{
    $login = $_POST['login'];
    $pass_crypte = crypt($_POST['pass']); // On crypte le mot de passe
 
    echo 'Ligne à copier dans le .htpasswd :<br />' . $login . ':' . $pass_crypte;
}
 
else // On n'a pas encore rempli le formulaire
{
?>
</p>
 
<p>Entrez votre login et votre mot de passe pour le crypter.</p>
 
<form method="post">
    <p>
        Login : <input type="text" name="login"><br />
        Mot de passe : <input type="text" name="pass"><br /><br />
 
        <input type="submit" value="Crypter !">
    </p>
</form>
 
<?
}
?>

Je génére mon mot de passe à coller dans htpass de cette manière, mais si je colle la version cryptée de coucou, et qu'ensuite je veux m'identifier, cela ne marche que si j'encode ma version cryptée directement... donc il n'effectue pas le cryptage sur ce que je saisis dans la fenetre de logue... quelqu'un sait pq ?

**vg33** · 18/10/2005, 23h27

Si tu envois le mdp en clair, il est évident qu'il ne correspondra pas à celui enregistré dans le htpass, puisque celui-ci est crypté...
L'intérêt est de crypter le mdp chez le client, pour contrer une attaque par 'sniffing'. Il faut donc utiliser javascript.

**tony montana** · 18/10/2005, 23h41

salut,

Envoyé par vg33

Si tu envois le mdp en clair, il est évident qu'il ne correspondra pas à celui enregistré dans le htpass, puisque celui-ci est crypté...

C'est pourtant comme ca que ca fonctionne :p
Le serveur web crypte le mot de passe envoyé par le client, et le compare au mot de passe crypté stocké dans le htaccess.

Envoyé par vg33

L'intérêt est de crypter le mdp chez le client, pour contrer une attaque par 'sniffing'. Il faut donc utiliser javascript.

L'utilisation d'une authentification HTTP (par ex via un .htaccess) fait effectivement transité le mot de passe en clair sur le réseau.
Mais je ne crois pas qu'il soit possible de crypter le mot de passe par javascript pour une authentification HTTP ... Je ne vois pas comment accéder en javascript à la boite de dialogue pour s'authentifier proposée par le navigateur lors d'une authentification HTTP ...
Le javascript peut être utilisé, mais dans le cadre d'une authentification gérée en PHP.

Pour que le mot de passe ne transite pas en clair avec une authentification HTTP, la seule solution est, à ma connaissance, de passer par HTTPS.

Pour en revenir au problème, pour générer un mot de passe pour htpasswd, il y a un exécutable (1 version linux et 1 version windows) qui permet de le générer. Il vaut mieux passer par lui pour être sur que le mot de passe soit crypté via la bonne méthode.
cf ce post : http://www.developpez.net/forums/viewtopic.php?t=404557