Combiner sessions et .htaccess

Version imprimable

21/04/2010, 23h49
death_style

Combiner sessions et .htaccess

Bonjour,
J'utilise un système de session pour m'authentifier.
Lorsque je me suis authentifié, j'accède à travers la commande php suivante
: header("Location: Prive/index.php)

au fichier index.php se trouvant dans le répertoire "Prive".
Ce répertoire, je l'ai protégé par le système .htaccess en y mettant "Deny
from all".

Seulement l'accès m'est interdit par .htaccess !!!

Donc comment je peux faire pour protéger ce répertoire pour les accès
directs, mais en autorisant l'accès à travers les session.
(si la session existe et la valeur égale à tel ou tel valeur donc j'accède à tel ou tel dossier protégé)
(j'espère que je suis clair) ?

Précision, ce répertoire Prive, contient beaucoup d'autres fichiers (images
et autres) dont je veux en protéger l'accès.

Merci d'avance pour vos réponses
22/04/2010, 00h58
julp

Ça ne peut fonctionner : les deux n'ont strictement aucun rapport ou relation d'aucune sorte.

Il faut utiliser entièrement soit l'un soit l'autre : une authentification HTTP gérée par Apache pour l'accès au répertoire et ses fichiers ou une session PHP, ce qui signifie que dans ce dernier cas il faut un script intermédiaire (se chargeant alors, via les données de la session, à en interdire l'accès sinon servir le document identifié demandé).
22/04/2010, 09h49
death_style

Citation:

Envoyé par julp

Ça ne peut fonctionner : les deux n'ont strictement aucun rapport ou relation d'aucune sorte.

Il faut utiliser entièrement soit l'un soit l'autre : une authentification HTTP gérée par Apache pour l'accès au répertoire et ses fichiers ou une session PHP, ce qui signifie que dans ce dernier cas il faut un script intermédiaire (se chargeant alors, via les données de la session, à en interdire l'accès sinon servir le document identifié demandé).

Merci, j'ai remarqué que même facebook ne protège pas mes photos, si je prend le lien en dure de l'une de mes images sur facebook, ensuite même en détruisant ma session j'arrive quand même à l'afficher. est ce pour ça qu'il mettent des liens pas facile à retenir ? (trop long avec plein de chiffre ).

Je sais que c'est un peut bête mais est ce possible de faire un set des variable
$_SERVER['PHP_AUTH_USER']
$_SERVER['PHP_AUTH_PW']

Merci
22/04/2010, 13h59
julp

Pour facebook, aucune idée n'en étant pas utilisateur.

Citation:

Envoyé par death_style

Je sais que c'est un peut bête mais est ce possible de faire un set des variable
$_SERVER['PHP_AUTH_USER']
$_SERVER['PHP_AUTH_PW']

Une authentification HTTP gérée par PHP ne serait que locale (propre à un script) contrairement à une gérée par Apache qui s'applique (par défaut du moins) sur l'arborescence. Une authentification HTTP gérée par PHP n'est pas portable (dépendant du serveur/SAPI) et une session PHP pure est en principe plus souple et transparente.

Les définir ? Avec une authentification HTTP gérée par Apache, ce ne serait pas nécessaire puisque le client réémet les identifiants. Si, en revanche, c'est géré ne serait-ce qu'en partie par PHP, c'est directement impossible notamment pour la simple et bonne raison qu'aucune variable ne persiste après la fin du script (celles en session pouvant être une exception). Il faudrait alors pour cela que PHP se comporte également comme un client HTTP intermédiaire (proxy) - avec un moyen de "reconnaître" le client. Une session PHP seule me semble donc plus simple à mettre en œuvre.
22/04/2010, 14h51
death_style

Merci pour tes réponses,

C'est un peu dommage car si j'utilise uniquement des session, alors seul les page php avec le bout de code de vérification seront protégées. si j'ai une image dans le même dossier privé, son URL suffit pour y accéder.

Je cherche pas forcement à le faire avec session+htaccess, mais une manière peu import laquelle

Citation:

Envoyé par death_style

C'est un peu dommage car si j'utilise uniquement des session, alors seul les page php avec le bout de code de vérification seront protégées. si j'ai une image dans le même dossier privé, son URL suffit pour y accéder.

Non, pas nécessairement, il faudrait mettre ces fichiers plus haut que la racine web pour ne pas qu'ils puissent être accessibles ou à défaut mettre un fichier .htaccess interdisant l'accès à tout client. Vous créez ensuite une partie identification qui va créer/initialiser la session PHP et une autre pour accéder aux fichiers. Cette dernière renverra sur la partie d'identification en absence de session sinon elle servira le fichier demandé dont le nom ou un identifiant sera fourni en paramètre (GET notamment - utiliser éventuellement une réécriture pour "embellir").

Un exemple incomplet pour la seconde partie, sans base de données :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 <?php session_start(); if (!isset($_SESSION['util_id'])) { // identification (redirection si c'est un script à part) } else { if (isset($_GET['nom'])) { define('REPOSITORY', '/home/toto/data/'); // Doit se terminer par un / if (version_compare(PHP_VERSION, '5.3.0', '>=')) { ini_set('open_basedir', REPOSITORY); } $path = realpath(REPOSITORY . $_GET['nom']); if (!$path || !is_file($path)) { die("Fichier inexistant"); } else { if (strpos($path, REPOSITORY) !== 0) { die("Où vas-tu ?"); // un petit malin cherche à remonter l'arborescence } else { // émettre les entêtes HTTP qui conviennent (Content-type notamment) readfile($path); } } } else { die("Fichier désiré non spécifié"); } }
Il y a d'autres implémentations possibles mais certaines ne seront pas adaptées si le contenu de ces fichiers n'est pas totalement maitrisé ou peuvent être bypassées. _Mac_, ici, propose une solution dont la requête est détournée par réécriture sur un tel script intermédiaire.

22/04/2010, 21h09
death_style
salut, et merci pour l'aide.
enfait cette solution , si j'ai bien compris , c'est pour permettre les téléchargements de fichiers. mais ce que je veux c'est que mes images soient affichées à partir du code html.

Supposons la structure suivante/
log.php

dossier_privé 1/

index.php

images/

mage1.jpg.

Le fichier index.php vérifie la session. si c'est ok y a un contenue html qui s'affiche dont une balise <IMG> avec le param src qui point vers l'image image1.jpg.
sachant que avec un lien en dur de l'image , je peut y accéder sans m'authentifier.

voilà un peu mon index.php du dossier privé:
Code:

1 2 3 4 5 6 7 8 9 10 11 <?php if(!isset($_session['OK']) header("Locaton: /log.php"); else {?> <html> <body> <a> Hola .. ça gaze</a> <img src="images/image1.jpg" /> </body> </html> <?php}?>
Donc, session ou pas session, je peut accéder à l'image. si je mets un .htaccess dans le dossier images, même si je suis authentifier l'image ne s'affiche pas.

J'ai essayé des trucs avec les solution que tu m'a proposer. mais sans succès.
peut être que j'ai mal saisie le code.

sinon est ce qu'il une solution pour ça.

mille merci

Citation:

Envoyé par death_style

enfait cette solution , si j'ai bien compris , c'est pour permettre les téléchargements de fichiers. mais ce que je veux c'est que mes images soient affichées à partir du code html.

C'est la même chose, ce n'est qu'une question d'entêtes HTTP. C'est plutôt l'incorporation qui est à prendre en compte suivant le type de ressource.

Citation:

Envoyé par death_style

Donc, session ou pas session, je peut accéder à l'image. si je mets un .htaccess dans le dossier images, même si je suis authentifier l'image ne s'affiche pas.

C'est parfaitement normal :

si l'accès aux fichiers est possible, n'importe qui qui en connaît l'adresse et/ou la retrouve bypassera cette protection ...
... c'est bien pour ça qu'on met en place un script PHP intermédiaire. Lui aura accès à ces fichiers (puisqu'il passe directement par le système de fichiers et non par le protocole HTTP qui ne devrait pas permettre l'accès à ces fichiers) et qui en restituera le contenu

Visiblement cette partie n'est pas bien comprise.

Je vais repartir sur une solution semblable à celle de _Mac_, minimale, en détournant (uniquement) l'affichage des images sur un script intermédiaire par l'intermédiaire d'une réécriture.

Arborescence :
Code:

1 2 3 4 5 6 .htaccess login.php intermediaire.php private/ private/.htaccess private/test.png
private/.htaccess (normalement inutilisé, présent par sécurité) :
Code:

1 2 Deny from all Satisfy any
.htaccess :
Code:

1 2 3 4 5 6 7 8 9 10 Options +FollowSymLinks <IfModule mod_negociatiation.c> Options -MultiViews </IfModule> RewriteEngine On # On redirige toute demande de fichier image situé sous private vers le script RewriteCond %{REQUEST_URI} \.(jpe?g|gif|png)$ [NC] RewriteRule ^private/ intermediaire.php [QSA,L]
intermediaire.php :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 <?php session_start(); function generate_image($message) { $img = imagecreatetruecolor(60, 30); $color = imagecolorallocate($img, 255, 255, 255); imagestring($img, 1, 5, 5, $message, $color); header('Content-type: image/jpeg'); imagejpeg($img); imagedestroy($img); } if (!isset($_SESSION['id'])) { generate_image('denied'); } else { $requested = $_SERVER['DOCUMENT_ROOT'] . $_SERVER['REQUEST_URI']; // à potentiellement adapter $mime = mime_content_type($requested); // à remplacer par fileinfo si possible if (is_file($requested)) { header('Content-type: ' . $mime); readfile($requested); } else { generate_image('not found'); } }
login.php (PDO/MySQL et par formulaire pour être généraliste sinon s'orienter sur une authentification HTTP via PHP) :
Code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 <?php session_start(); if ($_SERVER['REQUEST_METHOD'] == 'POST') { $dbh = new PDO('mysql:host=localhost;dbname=developpez', 'developpez', 'developpez', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8')); $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION); $login = $dbh->prepare('SELECT id FROM utilisateurs WHERE login = :login AND mot_de_passe = SHA(:mdp)'); $login->bindValue('login', $_POST['login'], PDO::PARAM_STR); $login->bindValue('mdp', $_POST['mdp'], PDO::PARAM_STR); $login->execute(); if ($login->rowCount() === 1) { $util = $login->fetch(PDO::FETCH_ASSOC); $_SESSION['id'] = $util['id']; } else { afficher_formulaire("Aucune correspondance"); } } else { afficher_formulaire(); } function afficher_formulaire($message = '') { ?> <form action="" method="post"> Login : <input type="text" name="login" /> <br /> Mot de passe : <input type="text" name="mdp" /> <br /> <input type="submit" value="Login" /> </form> <?php if ($message) { echo '<p>', $message, '</p>'; } ?> <?php }
Une simple page de test :

Code:

<img src="http://x.y.z/private/test.png" />

Vous affichera un résultat différent suivant que vous ayez ou non passé l'identification (login.php).

Par contre, je n'ai volontairement pas mis de redirection de intermediaire.php vers login.php quand on n'est pas authentifié car pour une demande d'image ce n'est pas adéquat (sinon il faudrait s'orienter sur une authentification HTTP gérée par PHP si cela est possible).

Enfin, est-ce qu'une session est bien une solution sachant qu'elle expire assez rapidement (24 minutes par défaut théoriquement) ?

22/04/2010, 22h49
alain31tl
Citation:
Envoyé par death_style

sachant que avec un lien en dur de l'image , je peut y accéder sans m'authentifier.

voilà un peu mon index.php du dossier privé:

Code:

1 2 3 4 5 6 7 8 9 10 11 <?php if(!isset($_session['OK']) header("Locaton: /log.php"); else {?> <html> <body> <a> Hola .. ça gaze</a> <img src="images/image1.jpg" /> </body> </html> <?php}?>
Slt
Bien sûr que tu peux y accéder puisque, toi, tu connais le chemin complet sans avoir besoin de t'identifier et d'ouvrir une session, ce qui n'est pas le cas des autres.

Ceux pour qui la session n'est pas OK, comment pourraient-ils connaître le chemin complet ?
23/04/2010, 15h16
death_style

salut,
@julp
Je crois que cette solution me convient, je vais l'essayer. Mon apache est fraichement installé, et RewriteEngine n'est pas reconnue. Je dois ajouter le module correspondant.
Merci pour le temps que t as consacrer.

Citation:

Envoyé par alain31tl

Slt
Bien sûr que tu peux y accéder puisque, toi, tu connais le chemin complet sans avoir besoin de t'identifier et d'ouvrir une session, ce qui n'est pas le cas des autres.

Ceux pour qui la session n'est pas OK, comment pourraient-ils connaître le chemin complet ?

bah un malin peut bien s'inspirer et deviner le lien. en regardant son compte à lui par ex.

Citation:

Envoyé par death_style

Bonjour,

Je suis désolée, mais tout ceci me parait bien bien compliqué !
J'essais de me faire mon petit plan de sécuritée a moi

si par je ne sais quelle méthode, tu as une valeur
$_session['cbon']="ok" ...

les pages interdites sont dans la racine du site et commencent par
Code:

1 2 3 4 5 6 7 8 9 10 11 <?PHP session_start(); if (!isset($_SESSION['cbon'])) {$_SESSION['cbon']="";$cbon="";} else {$cbon=$_SESSION['cbon'];} if ($cbon!="ok") { header('Location: http://www.tonsite.com/index.php'); exit; } ?>
et les objets, OUI ils sont dans un répertoire protégé par un index.php
Code:

1 2 3 4 5 <?php header('Location: http://www.tonsite.com/index.php'); exit; ?>
les objets (PAS DE PHP ICI) sont protégés par htaccess
ils pourront donc étre lus par les php du site.
Mais le répertoire reste bloqué a un dir ou autre ....

23/04/2010, 18h37
alain31tl

Citation:

Envoyé par mauriser

<?php
header('Location: http://www.tonsite.com/index.php');
exit;
?>
[/code]

les objets (PAS DE PHP ICI) sont protégés par htaccess
ils pourront donc étre lus par les php du site.
Mais le répertoire reste bloqué a un dir ou autre ....

Ah oui mauriser,

Trés interresante remarque, et surtout bien vu.;)

Citation:

Envoyé par mauriser

Je suis désolée, mais tout ceci me parait bien bien compliqué !

Non et vous suivez visiblement le même chemin.

Citation:

Envoyé par mauriser

les pages interdites sont dans la racine du site et commencent par

Code:

1
2
3
4
5
6
7
8
9
10
11
 
<?PHP
session_start();
if (!isset($_SESSION['cbon'])) {$_SESSION['cbon']="";$cbon="";}
     else {$cbon=$_SESSION['cbon'];}
if ($cbon!="ok") 
 {
 header('Location: http://www.tonsite.com/index.php');
 exit;
 } 
?>

Ok, mais si ce n'est pas des scripts PHP qu'on doit protéger ? A moins de forcer PHP à voir ces fichiers comme des scripts et utiliser la directive auto_prepend_file pour inclure automatiquement ce code de protection. Solution requérant un minimum de liberté par rapport à la configuration du serveur :

.htaccess dans le dossier à protéger (requiert PHP en module Apache) :

Code:

1
2
3
4
5
# Définir le script de protection à inclure automatiquement
php_value auto_prepend_file "C:/AMP/www/intermediaire.php"

# Forcer tout fichier à être vu comme un script PHP
ForceType application/x-httpd-php

intermediaire.php :

Code:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
<?php
session_start();
 
if (!isset($_SESSION['id'])) {
    if ($_SERVER['REQUEST_METHOD'] == 'POST') {
        $dbh = new PDO('mysql:host=localhost;dbname=developpez', 'developpez', 'developpez', array(PDO::MYSQL_ATTR_INIT_COMMAND => 'SET NAMES utf8'));
        $dbh->setAttribute(PDO::ATTR_ERRMODE, PDO::ERRMODE_EXCEPTION);
        $login = $dbh->prepare('SELECT id FROM utilisateurs WHERE login = :login AND mot_de_passe = SHA(:mdp)');
        $login->bindValue('login', $_POST['login'], PDO::PARAM_STR);
        $login->bindValue('mdp', $_POST['mdp'], PDO::PARAM_STR);
        $login->execute();
        if ($login->rowCount() === 1) {
            $util = $login->fetch(PDO::FETCH_ASSOC);
            $_SESSION['id'] = $util['id'];
        } else {
            afficher_formulaire("Aucune correspondance");
            exit;
        }
    } else {
        afficher_formulaire();
        exit;
    }
} else {
    $requested = $_SERVER['DOCUMENT_ROOT'] . $_SERVER['REQUEST_URI'];
    if (is_file($requested)) {
        $mime = mime_content_type($requested); // à remplacer par fileinfo si possible
        #if (/* si c'est bien un script PHP ... */) {
        #    ... en interdire l'accès ; ne rien faire (corps vide), conduira à son interprétation
        #    header('HTTP/1.0 403 Forbidden', TRUE, 403);
        #    echo 'Forbidden';
        #    exit;
        #} else {*/
            header('Content-type: ' . $mime);
            readfile($requested);
            /**
             * On met fin au script pour éviter toute erreur de syntaxe (fichier binaire) ou exécution de script
             * malveillant. Si ça doit aussi concerner des scripts PHP à interpréter, il faudra dissocier ce cas
             * et le traiter autrement
             **/
            exit;
        #}
    } else {
        header('HTTP/1.0 404 Not Found', TRUE, 404);
        echo 'Not Found';
        exit;
    }
}
 
function afficher_formulaire($message = '') {
?>
 
<html> 
<form action="" method="post">
    Login : <input type="text" name="login" />
    <br />
    Mot de passe : <input type="text" name="mdp" />
    <br />
    <input type="submit" value="Login" />
</form>
<?php if ($message) { echo '<p>', $message, '</p>'; } ?>
 
<?php
}

C'est plus simple mais je ne suis pas fan d'une telle mise en œuvre.

Citation:

Envoyé par mauriser

les objets (PAS DE PHP ICI) sont protégés par htaccess
ils pourront donc étre lus par les php du site.
Mais le répertoire reste bloqué a un dir ou autre ....

Sauf que nous n'en avons pas d'implémentation :aie:

23/04/2010, 19h34
Invité

Citation:

Envoyé par julp

Sauf que nous n'en avons pas d'implémentation :aie:

Je comprends ce que tu explique, mais ne trouve pas ta vision des choses contradictoire avec ce que je proposes.
Par contre , dans ma façon de démarrer chaque PHP protégé, j'introduit bien en tête la programmation d'une mini fonction particulière, bien spécifiée.
définition de l'implémentation je penses.
23/04/2010, 22h57
alain31tl
Evidemment, et en plus :
Citation:
Envoyé par death_style

Supposons la structure suivante/
log.php

dossier_privé 1/

index.php

images/

mage1.jpg.
Suffit aussi de rajouter un fichier index.php ou html dans le répertoire images pour protéger l'ouverture de ce répertoire en ligne.
De toute façon, c'est clair, celui qui s'identifie pourra connaître le nom de l'image ouverte...et aprés ?
Mais impossible pour le/les noms des autres contenus de ce répertoire sauf pour ceux qui seraient devins :)

Maintenant, je ne connais pas l'objectif de ton applic, mais si tu veux, par exemple, associer une image à un utilisateur unique, rien ne t'empêche de mettre cette variable [image] en session au moment de l'identification.
En association avec l'id ou le nom de l'utilisateur bien sûr.
23/04/2010, 23h30
Invité

Citation:

Envoyé par alain31tl

Evidemment, et en plus :

++ pour toi l' Ami :fou: