Discussion :

[DiverSIG]

Bonjour,

je voudrais protéger l'accès à un fichier, si j'ai bien compris, il faut faire un fichier htaccess, voici ce que j'ai mis dedans :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<Files monfichier.gml>
order deny,allow
deny from all
allow from .monsite.fr
</Files>

mais du coup, il est interdit pour tout le monde, y compris pour le site qui doit y accéder pour créer une carte interactive.

qu'est ce qu'il manque ?

Merci,

Nico

[_Mac_]

En fait, le allow from s'applique au client du site : le navigateur. Allow from .monsite.fr signifie que seules les machines qui ont une IP associée au domaine .monsite.fr peuvent télécharger le fichier. Cela n'a rien à voir avec le site Web qu'on est en train de visiter.

Pour ton problème, fais une recherche sur le forum sur le terme "hotlinking".

[anawak2002]

La configuration du fichier .htacess est décrit ici.
Le principe est que dans ton fichier de configuration http.conf, tu definit le repertoire à gérer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
<Directory /var/www/toto>
Options Indexes Includes FollowSymlinks MultiViews
AllowOverride AuthConfig  # Signifie qu'Apache doit prendre en 
                                   #compte ton fichier .htaccess placé dans le 
                                   #  repertoire toto
Order allow,deny
Allow from all              #tout le monde peut y acceder sous reserve de 
                               #respecter les conditions que tu as défini dans le 
                               #.htaccess
</Directory>

Puis dans le .htaccess, tu definis ces règles (par exemple, l'accès par mot de passe).

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
AuthUserFile /var/www/pass/.htpasswd
AuthName "Accès protégé"
AuthType Basic
 
<Limit GET POST>
Require valid-user
</Limit>

etc....
tu trouveras un exemple à cette adresse : http://www.glatozen.org/apachehtaccess.php


Bion courage

[DiverSIG]

En fait, j'ai posté sur le forum apache, mais comment savoir si mon hébergeur utilise un serveur apache (et de toute façon, je n'ai pas accès au http.conf).

j'ai essayé de mettre ça dans mon .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Options +FollowSymlinks
RewriteEngine on
RewriteRule   ^.gml$   index.htm  [L]

mais du coup, je ne peux plus accéder à mon site, j'ai une erreur 500 (internal server error) ...

Nico

[_Mac_]

Etrange comme erreur mais du coup, vu qu'il y a erreur, cela veut dire que le serveur prend en compte ton .htaccess donc est un serveur Apache. Le moyen le plus simple de savoir si les .htaccess fonctionnent c'est de mettre juste ceci dans un .htaccess :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Deny from all

et si avec ça l'accès au répertoire est refusé, c'est un Apache qui reconnaît les .htaccess.

[DiverSIG]

effectivement, si je met deny from all, je n'ai plus accès au répertoire, mais si je met les instructions rewriterule, j'ai toujours erreur 500.

pour info, le site est hébergé chez online.net, si ça peut servir ...

Nico

[_Mac_]

En fait, le allow from s'applique au client du site : le navigateur. Allow from .monsite.fr signifie que seules les machines qui ont une IP associée au domaine .monsite.fr peuvent télécharger le fichier. Cela n'a rien à voir avec le site Web qu'on est en train de visiter.

Pour ton problème, fais une recherche sur le forum sur le terme "hotlinking".

+ http://apache.developpez.com/faq/?pa...ages_exterieur

[lucho27]

Oui, scuzi Mac,

je me connecte à l'instant sur le forum car je viens de comprendre à retardement votre premier message que j'avais pourtant bien lu hier...

Donc aucune protection réellement fiable pour ce contexte ? (le referer semble léger apparemment).


Luc

[lucho27]

re..

bon suis parti sur un autre moyen de protection.

merci de votre réponse
Luc

[lucho27]

Bonjour,

je réouvre ce post car j'ai la même demande que celle initialement exprimée par Nico, à savoir :
interdire l'accès à un fichier en particulier, pour tous sauf pour les machines associées à un domaine précis.
Je souhaiterais utiliser le "allow from" qui semble être fait pour ça.
Mais j'obtiens un "403 Forbidden" lorsque je lance des requêtes Ajax (Post) vers "monfichier.php" à partir d'une page hébergée sur le serveur associé au domaine ".mondomaine.fr"

J'ai mis ceci dans mon htaccess:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<Files monfichier.php>
order deny,allow
deny from all
allow from .mondomaine.fr
</Files>

J'ai vu dans la doc Apache2.0 qu'il n'y avait pas de point devant le domaine. J'ai essayé mais ça ne change rien.
Pour le contexte :
- monfichier.php est sur un mutualisé chez OVH
- le htaccess fonctionne correctement pour d'autres directives telles "AuthUserFile" etc...

Y aurait-il qqn pour m'éclairer ?

merci d'avance
Luc