Discussion :

[speedev]

Bonjour,

Je suis sur un projet de GED (gestion electronique de documents) et je réfléchis au système de téléchargement sécurisé.
Tous mes documents seront stockés hors racine Web, à partir de ce moment ils ne seront donc pas accessibles via navigateur.

Ensuite j'aurai un script de téléchargement qui sera sécurisé via sessions PHP (authentification).

La question que je me pose : Rajouter un .htaccess / .htpasswd au niveau du dossier contenant les documents apporte-t-il un plus de sécurité pour protéger ces documents ?
J'ignore toutes les techniques de piratage, peut-être est-ce utile ?
Je ne prends pas en compte les pirates capables d'infiltrer un serveur car je n'irai pas jusqu'à encoder les fichiers (b64...) (si vous avez néanmoins une doc là dessus je suis preneur).

Merci

[FoxLeRenard]

Bonjour,

tu dis

La question que je me pose : Rajouter un .htaccess / .htpasswd
au niveau du dossier contenant les documents apporte-t-il
un plus de sécurité pour protéger ces documents ?

A mon sens non, en effet le répertoire étant hors (avant) l'url,
ce qui est trés bien, seul un utilisateur qui franchirait en FTP le serveur
pourraient...

Tu vois la bonne question est de savoir nos limites, donc si de chez moi, je peux gérer mon site web, alors avec les mêmes codes tous peuvent le faire

Ca c'est la limite extréme, car bien entendu si j'ais des super codes je peux aller encore plus loin, c' est a dire sur tout le serveur !!!

Donc du moment que tu es en amont de ton URL, alors tu n'as pas besoins de htaccess

[sabotage]

.htaccess etant un parametrage Apache, il ne s'applique que dans le cadre des fichiers servis par apache.

[FoxLeRenard]

.htaccess etant un parametrage Apache, il ne s'applique que dans le cadre des fichiers servis par apache.

Houps tu es gentil de dire ça si discrétement, ça doit étre l'heure MVC bien sur

Tu sais que a force on associe PHP a Apache alors que sur les autres serveurs PHP est présent bien sur ...

[speedev]

C'est effectivement ce que je pensais Sabotage cependant j'avais un doute (j'aurai pu tester...), merci.

Pour aller plus loin, quelle serait selon vous la solution ultime de sécurisation des documents sur un serveur web ? Mettons que ce soit des documents très sensibles et qu'il faut les mettre malgré tout à disposition des utilisateurs via extranet et sans protocole https ni de certif ssl (argh...)... comment pourrais-je sécuriser totalement ces documents contre une infiltration serveur d'un hacker (peut-on crypter ces fichiers doc, pdf, jpg... ?)

Cas concret : Je me place du côté des sites internet des banques sur lesquels on peut télécharger des documents personnels.

Plus sommairement jusqu'où peut aller la sécurisation dans le cas d'une GED ?

Merci encore

[FoxLeRenard]

Salut,

Je me place du côté des sites internet des banques sur lesquels on peut télécharger des documents personnels

Les banques ne font pas ainsi, aucun document n'est vérouillé !! car ils n'existent pas, tout est dans des bases de données cryptées. et PDF WORD EXCELL sont générés, la chaine serveur 2000 sait faire ça, mais il existe des générateurs indépendents pour faire cela

Par ailleur on est en droit de se demander pourquoi du PHP , dans ton cas ?
es-tu intranet ET internet ou intranet seulement ?

Si je prends la gestion de la paie d' une holding que je connais, elle est consultable par intanet avectoute la sécuritée voulue, mais les "patrons" plus deux personnes de la paie, ont un portable de la sociétée qui a l'aide d'un module peut se connecter et devenir un membre du réseaux...

Alors comme tout c'est franchissable, mais durdur