Problème contournement login
Résolu
steph12358
Messages postés
149
Date d'inscription
jeudi 22 avril 2004
Statut
Membre
Dernière intervention
10 décembre 2009
-
2 nov. 2009 à 11:53
Spectrax - 6 mai 2023 à 23:07
Spectrax - 6 mai 2023 à 23:07
7 réponses
TychoBrahe
Messages postés
1309
Date d'inscription
samedi 31 janvier 2009
Statut
Membre
Dernière intervention
5 juin 2013
12
2 nov. 2009 à 21:03
2 nov. 2009 à 21:03
Salut,
Même pas besoin de sortir de l'arborescence du site, interdire tout accès au dossier fonctionne tout aussi bien.
Oui, renommer ainsi un fichier (en se basant sur le md5, sha1 ou autre) du nom du fichier (ou du fichier lui même, en plus ça évite les doublons) c'est bien pratique... à condition de bien penser à interdire l'indexage des fichiers
les stocker en dehors de l'arborescence du site et les appelant via le script (file_get_contents, ...)
Même pas besoin de sortir de l'arborescence du site, interdire tout accès au dossier fonctionne tout aussi bien.
Order Deny,Allow Deny from all
Un nom introuvable, du genre 987hu_64ez2oin_dzfez.jpg, suffit dans bien des cas.
Oui, renommer ainsi un fichier (en se basant sur le md5, sha1 ou autre) du nom du fichier (ou du fichier lui même, en plus ça évite les doublons) c'est bien pratique... à condition de bien penser à interdire l'indexage des fichiers
Options -Indexes
sebing
Messages postés
144
Date d'inscription
mercredi 3 février 2010
Statut
Membre
Dernière intervention
3 novembre 2010
2 nov. 2009 à 14:10
2 nov. 2009 à 14:10
Bonjour,
Pourquoi ne pas se servir de .htaccess pour protéger ton dossier images.
Il y aune bonne explication sur la protection d'un dossier avec un .htaccess: Protéger un dossier avec .htaccess
en espérant d'avoir aidé.
Cordialement.
Seb
Pourquoi ne pas se servir de .htaccess pour protéger ton dossier images.
Il y aune bonne explication sur la protection d'un dossier avec un .htaccess: Protéger un dossier avec .htaccess
en espérant d'avoir aidé.
Cordialement.
Seb
steph12358
Messages postés
149
Date d'inscription
jeudi 22 avril 2004
Statut
Membre
Dernière intervention
10 décembre 2009
1
2 nov. 2009 à 17:13
2 nov. 2009 à 17:13
Bonsoir et merci
j'avais déjà songé à protéger par .htaccess mais le problème
c'est que j'utilise une authentification par php et je compare login et pwd saisis avec ceux d'une base access (par odbc).
Donc pas d'authentification basic...
Je voudrais restreindre l'accès tant que l'utilisateur n'est pas identifié apr session php. Après le login c'est différent l'accès peut être élargi...
mais avec un .htaccess du type
deny from all
tout est bloqué et images ne sont même plus affichées (ce qui est un peu normal...)
et si je défini un mot de passe l'utilisateur va être obligé de les saisir...
A+
j'avais déjà songé à protéger par .htaccess mais le problème
c'est que j'utilise une authentification par php et je compare login et pwd saisis avec ceux d'une base access (par odbc).
Donc pas d'authentification basic...
Je voudrais restreindre l'accès tant que l'utilisateur n'est pas identifié apr session php. Après le login c'est différent l'accès peut être élargi...
mais avec un .htaccess du type
deny from all
tout est bloqué et images ne sont même plus affichées (ce qui est un peu normal...)
et si je défini un mot de passe l'utilisateur va être obligé de les saisir...
A+
kohntark
Messages postés
3705
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
2 nov. 2009 à 17:36
2 nov. 2009 à 17:36
Salut,
Pas trop d'autres solutions que :
- stocker les images (et le reste) en base de données (déconseillé)
- les stocker en dehors de l'arborescence du site et les appelant via le script (file_get_contents, ...)
Mais est ce vraiment nécessaire ? Un nom introuvable, du genre 987hu_64ez2oin_dzfez.jpg, suffit dans bien des cas.
Cordialement,
Kohntark -
Pas trop d'autres solutions que :
- stocker les images (et le reste) en base de données (déconseillé)
- les stocker en dehors de l'arborescence du site et les appelant via le script (file_get_contents, ...)
Mais est ce vraiment nécessaire ? Un nom introuvable, du genre 987hu_64ez2oin_dzfez.jpg, suffit dans bien des cas.
Cordialement,
Kohntark -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
steph12358
Messages postés
149
Date d'inscription
jeudi 22 avril 2004
Statut
Membre
Dernière intervention
10 décembre 2009
1
3 nov. 2009 à 09:38
3 nov. 2009 à 09:38
Bonjour
Merci pour ces suggestions.
J'avais déjà essayé de protéger mes répertoires "images" et "js" (javascript) mais c'était un peu trop violent (plus d'images, plus de scripts)
Je vais laisser "Options -Indexes" c'est déjà trés bien
Cordialement
Merci pour ces suggestions.
J'avais déjà essayé de protéger mes répertoires "images" et "js" (javascript) mais c'était un peu trop violent (plus d'images, plus de scripts)
Je vais laisser "Options -Indexes" c'est déjà trés bien
Cordialement
kohntark
Messages postés
3705
Date d'inscription
lundi 5 juillet 2004
Statut
Membre
Dernière intervention
27 avril 2012
30
3 nov. 2009 à 19:03
3 nov. 2009 à 19:03
Re,
Effectivement. J'ai écrit un peu vite en voyant l'allergie que semble avoir Steph au htaccess
En me lisant on peut croire en effet que ça n'est pas possible. Merci d'avoir rectifié.
... tout dépend de la criticité des données, un -indexes et des noms de fichiers complexes suffit dans bien des cas.
Pour revenir tout de même sur ton "trop violent (plus d'images, plus de scripts)".
Imaginons un répertoire "machin/img/" dans lequel tu mets :
- un .htaccess :
- Tes fichiers à protéger
Et dans le rep "machin/" :
- un fichier "fichiersProteges.php" qui permet d'inclure le contenu
- et pour l'affichage un autre fichier :
Ce n'est là qu'un exemple qui permet de sécuriser un gif, mais, moyennant quelques retouches (passage du nom de fichier via l'url, envoi du header correct, ...) tu peux y mettre n'importe quel type de fichier.
Cordialement,
Kohntark -
Même pas besoin de sortir de l'arborescence du site, interdire tout accès au dossier fonctionne tout aussi bien.
Effectivement. J'ai écrit un peu vite en voyant l'allergie que semble avoir Steph au htaccess
En me lisant on peut croire en effet que ça n'est pas possible. Merci d'avoir rectifié.
Je vais laisser "Options -Indexes" c'est déjà trés bien
... tout dépend de la criticité des données, un -indexes et des noms de fichiers complexes suffit dans bien des cas.
Pour revenir tout de même sur ton "trop violent (plus d'images, plus de scripts)".
Imaginons un répertoire "machin/img/" dans lequel tu mets :
- un .htaccess :
Deny from all
- Tes fichiers à protéger
Et dans le rep "machin/" :
- un fichier "fichiersProteges.php" qui permet d'inclure le contenu
<?php
header("Content-type: image/gif");
echo file_get_contents('machin/img/trucMuche.gif');
?>
- et pour l'affichage un autre fichier :
Ce n'est là qu'un exemple qui permet de sécuriser un gif, mais, moyennant quelques retouches (passage du nom de fichier via l'url, envoi du header correct, ...) tu peux y mettre n'importe quel type de fichier.
Cordialement,
Kohntark -
steph12358
Messages postés
149
Date d'inscription
jeudi 22 avril 2004
Statut
Membre
Dernière intervention
10 décembre 2009
1
9 nov. 2009 à 16:11
9 nov. 2009 à 16:11
Merci pour cette nouvelle réponse.
Le site est déjà déployé, mais je vais tester pour mettre en place lors d'une prochaine mise à jour.
Encore merci Kohntark
Cordialement
Le site est déjà déployé, mais je vais tester pour mettre en place lors d'une prochaine mise à jour.
Encore merci Kohntark
Cordialement
