Protection via .htpasswd : est-ce suffisant ?

[mr_go]

Bonjour,

ma question peut sembler triviale, mais je me demandais si la seule protection via .htpasswd était suffisante pour protéger une partie d'un intranet multi-utilisateurs possédant chacun un répertoire distinct.

Qu'en pensez vous ?

 

[e-kiwi]

oui, un htaccess protege un répertoire de toute malveillance apres c'est moins pratique qu'une session, ca depend de ce que tu veux faire derriere comme suivi de membre (bien que tu puisse recuperer l identifiant tappé dans la fenetre de protection)

 

[mr_go]

Eh bien ce ne sera que de la consultation de documents en fait, mais il se peut que j'aie besoin d'un formulaire commun à tous.

Comment récupérer cet identifiant ?

Please, ne me dis pas Javascript !

 

[e-kiwi]

javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)

$PHP_AUTH_PW et $PHP_AUTH_USER

 

[e-kiwi]

apparemment sous OVH mutualisé, ca serait ça : $_SERVER['REMOTE_USER']. (source - google)

 

[mr_go]

javascript ? connait pas , kes a ko ? (et puis vive la sécurité ^^)

$PHP_AUTH_PW et $PHP_AUTH_USER

bon ca va on va bien s'entendre... ^^

Merci pour l'astuce, même si je connais bien PHP, je n'avais jamais utilisé ces variables serveur =).

Bon ben du coup, on peut générer une session en aval ?

EDIT : Oki au pire je ferai un print_r($_SERVER)....

 

[e-kiwi]

oui, du genre
if (isset($_SERVER['PHP_AUTH_USER']))
{
session_start();
$_SESSION['login']=$PHP_AUTH_USER
}

je suppose, jamais testé, mais je vois pas pourquoi cela ne marcherai pas, à moins que ton hebergeur face des siennes (si il aval pas ^^)
dézolé

 

[e-kiwi]

tiens j'ai trouvé ce script :
<?php
if (!isset($_SERVER['PHP_AUTH_USER'])) {
header('WWW-Authenticate: Basic realm="My Realm"');
header('HTTP/1.0 401 Unauthorized');
echo 'Texte utilisé si le visiteur utilise le bouton d\'annulation';
exit;
} else {
echo "<p>Bonjour, {$_SERVER['PHP_AUTH_USER']}.</p>";
echo "<p>Votre mot de passe est {$_SERVER['PHP_AUTH_PW']}.</p>";
}
?>

 

[mr_go]

Ah ben c'est plus que ce que je n'en demandais : merci bien e-kiwi.

 

[julisube]

Ca dépend si tes utilisateurs ont un accés ftp, si les droits sont mal réglés au niveau du système de fichier, il se peut que les utilisateurs puissent lire les fichiers via ftp (en tout cas dans mon ancienne boite c'était comme ca ).


Si il y a seulement un accés web, .htaccess suffit

 

[cprail]

Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...

 

[mr_go]

Oui bien .htaccess est un fichier qui est lu et interprété par apache, or le ftp ne passe pas par apache.
mais je crois pas que mr_go permette à ses utilisateurs d'accéder à son système de fichier par ftp...

Il confirme.