Sujet Précédent Sujet Suivant

DEMANDE D'AUTHENTIFICATION PAR SOCKET HTTP (.HTACCESS)

cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 - 31 déc. 2004 à 12:43
cs_Kirua Messages postés 3006 Date d'inscription dimanche 14 avril 2002 Statut Membre Dernière intervention 31 décembre 2008 - 19 déc. 2005 à 07:41
Cette discussion concerne un article du site. Pour la consulter dans son contexte d'origine, cliquez sur le lien ci-dessous.

https://codes-sources.commentcamarche.net/source/28520-demande-d-authentification-par-socket-http-htaccess
cs_Kirua Messages postés 3006 Date d'inscription dimanche 14 avril 2002 Statut Membre Dernière intervention 31 décembre 2008
19 déc. 2005 à 07:41
Hmmm, t'as bien raison, je me serais descendu personnellemet ;)
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
19 déc. 2005 à 02:00
"Ca sera tjs mieux qu'une protec' java ou javascript"

Muuuoohahahaha... c'est clair... .. . ;o)

Non dans le fond je pense que l'on est d'accord je voulais juste rebondir sur la forme (je sais je suis un chieur) et notament le "inviolable"... .. . ;o)

@ tchaOo°
cs_Kirua Messages postés 3006 Date d'inscription dimanche 14 avril 2002 Statut Membre Dernière intervention 31 décembre 2008
19 déc. 2005 à 00:50
C'est bien vrai, mais en attendant, t'as plus de chance de te faire avoir parce que t'as mal configuré ton serveur, disposé tes htaccess et htpassw etc que parce que qq un a pu te sniffer. Et puis pour sniffer, faut déjà être sur la connexion, c'est pas forcément évident.

Mais clairement, c'est juste un bon moyen de se protéger suffisament à peu de frais. Ca sera tjs mieux qu'une protec' java ou javascript ;)
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
18 déc. 2005 à 22:12
à moin que je ne me trompes, il faut du ssl ou un équivalent pour faire mieux...
kankrelune Messages postés 1293 Date d'inscription mardi 9 novembre 2004 Statut Membre Dernière intervention 21 mai 2015
18 déc. 2005 à 21:07
@ Kirua... l'authentification par htaccess est loin d'être inviolable puisque les données d'authentification sont passées en clair entre le client et le serveur... il est tout à fait possible de les intercepter avec un snifer... cependant je te le concède cela reste un moyen de protection assez sécurisé d'une manière générale... .. .

@ tchaOo°
cs_janhsh Messages postés 31 Date d'inscription lundi 6 novembre 2000 Statut Membre Dernière intervention 24 janvier 2015
7 mai 2005 à 01:46
Pourquoi coder le user et loging en base 64
alors que l'on peut directement écrire l' URI sous la forme

http://User:Password@www.example.com/index.html
cs_Kirua Messages postés 3006 Date d'inscription dimanche 14 avril 2002 Statut Membre Dernière intervention 31 décembre 2008
13 janv. 2005 à 23:01
ben si tu configures bien tes htaccess et que tu mets bien ton htpassw dans un répertoir à part avec un htaccess deny from all, alors oui, c'est quasi inviolable. les failles viendront d'une mauvaise utilisation / configuration / manque de discrétion (attention au social engineering, càd des personnes qui d'une manière ou d'une autre arrivent à te faire dire le mot de passe avec le sourire)
cs_pyair Messages postés 3 Date d'inscription mardi 18 février 2003 Statut Membre Dernière intervention 16 janvier 2008
13 janv. 2005 à 22:32
est-ce que les fichiers sont vraiment protégés avec le htacces?
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
13 janv. 2005 à 19:55
Ah thanks ;-)
JulioDelphi Messages postés 2226 Date d'inscription dimanche 5 octobre 2003 Statut Membre Dernière intervention 18 novembre 2010 14
13 janv. 2005 à 19:19
reprenons le cours "normal" de la conversation comme au 03/01/2005 à 19:14:39 ... merci ;)
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
3 janv. 2005 à 19:14
les optimisations sont très importantes, si tu regarde des pages ou tu balance des apels de fonctions récursives, tu verras vite pourquoi...
McPeter Messages postés 134 Date d'inscription mercredi 22 janvier 2003 Statut Membre Dernière intervention 18 avril 2013
3 janv. 2005 à 01:43
C'est pas vrai y'en a marre de répéter toujours les mêmes choses...

<? est à remplacer par <?php


a !?

donc tu diras au créateur de PHP de refaire leur code ^^
C'est du même aquabit que les gens qui gueule quand on écrit <?=$var?> au lieu de <?php echo $var; ?>

et le fait qui utilise des double quote au lieu de simple n'est aps non plus la fin du monde ..
sinon je vois pas ce que tu as modifié dans son code ?
ça valait la peine de tout reécrire ?
Kelwee Messages postés 4 Date d'inscription mercredi 11 février 2004 Statut Membre Dernière intervention 3 janvier 2008
1 janv. 2005 à 15:35
Merci Kirua :)
Le script fonctionne avec PUT si c'est un .htaccess, mais il existe biensûr d'autres méthodes selon le choix, GET ne fonctionne pas avec les .htaccess.
Pour récupérer une page sans mot de passe, un GET suffira largement.

Voilà et bonne année
cs_Kirua Messages postés 3006 Date d'inscription dimanche 14 avril 2002 Statut Membre Dernière intervention 31 décembre 2008
1 janv. 2005 à 13:43
"$base64 = base64_encode("login:password"); // Login et mot de passe crypté en base64 qu'utilise l'authentification"

c'est pas crypté, c'est encodé, ça n'a rien à voir. juste une petite précision qui a son importance.
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
31 déc. 2004 à 23:08
j'ai pas testé le code si tu veux savoir car je ne me suis jamais penché sur la façon de faire un htacces... Donc, je n'en ai pas sur mon site... et pour les sites protégés, je ne connais pas les URL ni les mots de passes...
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 22:36
Ouais ;-)
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
31 déc. 2004 à 22:10
je n'ai pas dit que ce code ne fonctionait pas, seulement j'essai de récupérer une page sans mot de passe, et lorsqu'une page à un cookie, ça me pose quelques problèmes, donc, je cherche de la doc...

Pour récupérer une page, c'est GET... ça c'est sur...
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 21:58
mais je pense que c'est bon le PUT ;-)

vu que le script fait appel au serveur et lui passe le mot de passe, d'ailleurs on le voit dans le code, donc non PUT ça devrait être bon ;-)
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 21:58
Ouais, j'ai pas corrigé ça en effet, je me concentre sur le PHP, si en plus le code marche pas, ça prouve qu'il a été pompé quelque part (vu que l'auteur ne l'a pas testé dans ce cas)
coucou747 Messages postés 12303 Date d'inscription mardi 10 février 2004 Statut Membre Dernière intervention 30 juillet 2012 44
31 déc. 2004 à 21:29
mais pour accèder à une page, c'est GET et non put ???

Sinon, l'accès HTTP c'est :
GET $page HTTP1.1\r\nhost: $serveur\r\n\r\n

$serveur sera par exemple : www.wanadoo.fr
et $page /

Enfin c'est ce que j'ai vu sur http://www.salemioche.com/
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 20:28
Bah c'est ce que j'ai fait ^^
Kelwee Messages postés 4 Date d'inscription mercredi 11 février 2004 Statut Membre Dernière intervention 3 janvier 2008
31 déc. 2004 à 19:46
Un code meilleur ? J'ai pris la base sur php.net alors bon si il faut changer quelque chose c'est le site php.net ;)
Mais toute remarque est constructible, si tu veux réecrire le code je t'en prit
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 12:43
je t'ai mis 7/10

t'aurais eu 9 avec un code meilleur ^^ (lol)

a ++
cs_Anthomicro Messages postés 9433 Date d'inscription mardi 9 octobre 2001 Statut Membre Dernière intervention 13 avril 2007 8
31 déc. 2004 à 12:43
Salut,

C'est pas vrai y'en a marre de répéter toujours les mêmes choses...

<? est à remplacer par <?php

bon en gros remplace ton code par ça :

<?php
$fp = fsockopen('www.example.com', 80, $errno, $errstr, 30); // Connexion (Host + Port)

if (!$fp)
{
echo $errstr,'(',$errno,')
';
}
else
{
$data='';
$base64 =base64_encode('login:password'); // Login et mot de passe crypté en base64

fputs($fp,"PUT http://www.example.com/index.html HTTP/1.0\r\n\r\nAuthorization: Basic ".$base64."\r\n\r\n"); // Le socket modifiable

while (!feof($fp))
{
$data .= fgets($fp, 128); // Récupération des infos
}
echo $data; // On affiche la page
fclose($fp);
}
?>

bon manque ensuite une gestion d'erreurs, mais bon c'est noël mais faut pas pousser non plus ^^

Discussions similaires

requète http
StevenJLMunn -
Alcantornet -

4 réponses
jframe authentification
laurent2403 -
Twinuts -

4 réponses
Authentification
geekmtl -
geekmtl -

4 réponses
comment résoudre un erreur HTTP/1.1 302 Found ?
hendryx911 -
hendryx911 -

2 réponses
http.get donne "HTTP/1.1 400 Bad Request"
DavKli -
cirec -

3 réponses
Rejoignez-nous