cs_Kirua
Messages postés3006Date d'inscriptiondimanche 14 avril 2002StatutMembreDernière intervention31 décembre 2008 19 déc. 2005 à 07:41
Hmmm, t'as bien raison, je me serais descendu personnellemet ;)
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 19 déc. 2005 à 02:00
"Ca sera tjs mieux qu'une protec' java ou javascript"
Muuuoohahahaha... c'est clair... .. . ;o)
Non dans le fond je pense que l'on est d'accord je voulais juste rebondir sur la forme (je sais je suis un chieur) et notament le "inviolable"... .. . ;o)
@ tchaOo°
cs_Kirua
Messages postés3006Date d'inscriptiondimanche 14 avril 2002StatutMembreDernière intervention31 décembre 2008 19 déc. 2005 à 00:50
C'est bien vrai, mais en attendant, t'as plus de chance de te faire avoir parce que t'as mal configuré ton serveur, disposé tes htaccess et htpassw etc que parce que qq un a pu te sniffer. Et puis pour sniffer, faut déjà être sur la connexion, c'est pas forcément évident.
Mais clairement, c'est juste un bon moyen de se protéger suffisament à peu de frais. Ca sera tjs mieux qu'une protec' java ou javascript ;)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 18 déc. 2005 à 22:12
à moin que je ne me trompes, il faut du ssl ou un équivalent pour faire mieux...
kankrelune
Messages postés1293Date d'inscriptionmardi 9 novembre 2004StatutMembreDernière intervention21 mai 2015 18 déc. 2005 à 21:07
@ Kirua... l'authentification par htaccess est loin d'être inviolable puisque les données d'authentification sont passées en clair entre le client et le serveur... il est tout à fait possible de les intercepter avec un snifer... cependant je te le concède cela reste un moyen de protection assez sécurisé d'une manière générale... .. .
@ tchaOo°
cs_janhsh
Messages postés31Date d'inscriptionlundi 6 novembre 2000StatutMembreDernière intervention24 janvier 2015 7 mai 2005 à 01:46
Pourquoi coder le user et loging en base 64
alors que l'on peut directement écrire l' URI sous la forme
cs_Kirua
Messages postés3006Date d'inscriptiondimanche 14 avril 2002StatutMembreDernière intervention31 décembre 2008 13 janv. 2005 à 23:01
ben si tu configures bien tes htaccess et que tu mets bien ton htpassw dans un répertoir à part avec un htaccess deny from all, alors oui, c'est quasi inviolable. les failles viendront d'une mauvaise utilisation / configuration / manque de discrétion (attention au social engineering, càd des personnes qui d'une manière ou d'une autre arrivent à te faire dire le mot de passe avec le sourire)
cs_pyair
Messages postés3Date d'inscriptionmardi 18 février 2003StatutMembreDernière intervention16 janvier 2008 13 janv. 2005 à 22:32
est-ce que les fichiers sont vraiment protégés avec le htacces?
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 13 janv. 2005 à 19:55
Ah thanks ;-)
JulioDelphi
Messages postés2226Date d'inscriptiondimanche 5 octobre 2003StatutMembreDernière intervention18 novembre 201014 13 janv. 2005 à 19:19
reprenons le cours "normal" de la conversation comme au 03/01/2005 à 19:14:39 ... merci ;)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 3 janv. 2005 à 19:14
les optimisations sont très importantes, si tu regarde des pages ou tu balance des apels de fonctions récursives, tu verras vite pourquoi...
McPeter
Messages postés134Date d'inscriptionmercredi 22 janvier 2003StatutMembreDernière intervention18 avril 2013 3 janv. 2005 à 01:43
C'est pas vrai y'en a marre de répéter toujours les mêmes choses...
<? est à remplacer par <?php
a !?
donc tu diras au créateur de PHP de refaire leur code ^^
C'est du même aquabit que les gens qui gueule quand on écrit <?=$var?> au lieu de <?php echo $var; ?>
et le fait qui utilise des double quote au lieu de simple n'est aps non plus la fin du monde ..
sinon je vois pas ce que tu as modifié dans son code ?
ça valait la peine de tout reécrire ?
Kelwee
Messages postés4Date d'inscriptionmercredi 11 février 2004StatutMembreDernière intervention 3 janvier 2008 1 janv. 2005 à 15:35
Merci Kirua :)
Le script fonctionne avec PUT si c'est un .htaccess, mais il existe biensûr d'autres méthodes selon le choix, GET ne fonctionne pas avec les .htaccess.
Pour récupérer une page sans mot de passe, un GET suffira largement.
Voilà et bonne année
cs_Kirua
Messages postés3006Date d'inscriptiondimanche 14 avril 2002StatutMembreDernière intervention31 décembre 2008 1 janv. 2005 à 13:43
"$base64 = base64_encode("login:password"); // Login et mot de passe crypté en base64 qu'utilise l'authentification"
c'est pas crypté, c'est encodé, ça n'a rien à voir. juste une petite précision qui a son importance.
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 31 déc. 2004 à 23:08
j'ai pas testé le code si tu veux savoir car je ne me suis jamais penché sur la façon de faire un htacces... Donc, je n'en ai pas sur mon site... et pour les sites protégés, je ne connais pas les URL ni les mots de passes...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 22:36
Ouais ;-)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 31 déc. 2004 à 22:10
je n'ai pas dit que ce code ne fonctionait pas, seulement j'essai de récupérer une page sans mot de passe, et lorsqu'une page à un cookie, ça me pose quelques problèmes, donc, je cherche de la doc...
Pour récupérer une page, c'est GET... ça c'est sur...
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 21:58
mais je pense que c'est bon le PUT ;-)
vu que le script fait appel au serveur et lui passe le mot de passe, d'ailleurs on le voit dans le code, donc non PUT ça devrait être bon ;-)
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 21:58
Ouais, j'ai pas corrigé ça en effet, je me concentre sur le PHP, si en plus le code marche pas, ça prouve qu'il a été pompé quelque part (vu que l'auteur ne l'a pas testé dans ce cas)
coucou747
Messages postés12303Date d'inscriptionmardi 10 février 2004StatutMembreDernière intervention30 juillet 201244 31 déc. 2004 à 21:29
mais pour accèder à une page, c'est GET et non put ???
Sinon, l'accès HTTP c'est :
GET $page HTTP1.1\r\nhost: $serveur\r\n\r\n
$serveur sera par exemple : www.wanadoo.fr
et $page /
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 20:28
Bah c'est ce que j'ai fait ^^
Kelwee
Messages postés4Date d'inscriptionmercredi 11 février 2004StatutMembreDernière intervention 3 janvier 2008 31 déc. 2004 à 19:46
Un code meilleur ? J'ai pris la base sur php.net alors bon si il faut changer quelque chose c'est le site php.net ;)
Mais toute remarque est constructible, si tu veux réecrire le code je t'en prit
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 12:43
je t'ai mis 7/10
t'aurais eu 9 avec un code meilleur ^^ (lol)
a ++
cs_Anthomicro
Messages postés9433Date d'inscriptionmardi 9 octobre 2001StatutMembreDernière intervention13 avril 20078 31 déc. 2004 à 12:43
Salut,
C'est pas vrai y'en a marre de répéter toujours les mêmes choses...
19 déc. 2005 à 07:41
19 déc. 2005 à 02:00
Muuuoohahahaha... c'est clair... .. . ;o)
Non dans le fond je pense que l'on est d'accord je voulais juste rebondir sur la forme (je sais je suis un chieur) et notament le "inviolable"... .. . ;o)
@ tchaOo°
19 déc. 2005 à 00:50
Mais clairement, c'est juste un bon moyen de se protéger suffisament à peu de frais. Ca sera tjs mieux qu'une protec' java ou javascript ;)
18 déc. 2005 à 22:12
18 déc. 2005 à 21:07
@ tchaOo°
7 mai 2005 à 01:46
alors que l'on peut directement écrire l' URI sous la forme
http://User:Password@www.example.com/index.html
13 janv. 2005 à 23:01
13 janv. 2005 à 22:32
13 janv. 2005 à 19:55
13 janv. 2005 à 19:19
3 janv. 2005 à 19:14
3 janv. 2005 à 01:43
a !?
donc tu diras au créateur de PHP de refaire leur code ^^
C'est du même aquabit que les gens qui gueule quand on écrit <?=$var?> au lieu de <?php echo $var; ?>
et le fait qui utilise des double quote au lieu de simple n'est aps non plus la fin du monde ..
sinon je vois pas ce que tu as modifié dans son code ?
ça valait la peine de tout reécrire ?
1 janv. 2005 à 15:35
Le script fonctionne avec PUT si c'est un .htaccess, mais il existe biensûr d'autres méthodes selon le choix, GET ne fonctionne pas avec les .htaccess.
Pour récupérer une page sans mot de passe, un GET suffira largement.
Voilà et bonne année
1 janv. 2005 à 13:43
c'est pas crypté, c'est encodé, ça n'a rien à voir. juste une petite précision qui a son importance.
31 déc. 2004 à 23:08
31 déc. 2004 à 22:36
31 déc. 2004 à 22:10
Pour récupérer une page, c'est GET... ça c'est sur...
31 déc. 2004 à 21:58
vu que le script fait appel au serveur et lui passe le mot de passe, d'ailleurs on le voit dans le code, donc non PUT ça devrait être bon ;-)
31 déc. 2004 à 21:58
31 déc. 2004 à 21:29
Sinon, l'accès HTTP c'est :
GET $page HTTP1.1\r\nhost: $serveur\r\n\r\n
$serveur sera par exemple : www.wanadoo.fr
et $page /
Enfin c'est ce que j'ai vu sur http://www.salemioche.com/
31 déc. 2004 à 20:28
31 déc. 2004 à 19:46
Mais toute remarque est constructible, si tu veux réecrire le code je t'en prit
31 déc. 2004 à 12:43
t'aurais eu 9 avec un code meilleur ^^ (lol)
a ++
31 déc. 2004 à 12:43
C'est pas vrai y'en a marre de répéter toujours les mêmes choses...
<? est à remplacer par <?php
bon en gros remplace ton code par ça :
<?php
$fp = fsockopen('www.example.com', 80, $errno, $errstr, 30); // Connexion (Host + Port)
if (!$fp)
{
echo $errstr,'(',$errno,')
';
}
else
{
$data='';
$base64 =base64_encode('login:password'); // Login et mot de passe crypté en base64
fputs($fp,"PUT http://www.example.com/index.html HTTP/1.0\r\n\r\nAuthorization: Basic ".$base64."\r\n\r\n"); // Le socket modifiable
while (!feof($fp))
{
$data .= fgets($fp, 128); // Récupération des infos
}
echo $data; // On affiche la page
fclose($fp);
}
?>
bon manque ensuite une gestion d'erreurs, mais bon c'est noël mais faut pas pousser non plus ^^