Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1763 connectés 

  FORUM HardWare.fr
  Programmation
  PHP

  Sécuriser l'accès à des fichiers (non php)

 



 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Sécuriser l'accès à des fichiers (non php)

n°1084423
slash33
Posté le 15-05-2005 à 18:03:41  profilanswer
 

Je dois réaliser un module sécurisé dans un site web en PHP/MySQL
 
Seuls les utilisateurs habilités (identification par login/mot de passe) peuvent accéder à une section téléchargement à partir de laquelle il peuvent obtenir des fichiers.
 
Bien entendu les fichiers téléchargeables sont situés dans un répertoire du serveur MySQL. L'utilisateur non habilité ne doit pas être en mesure de télécharger ces fichiers (en saisissant le chemin dans le navigateur par ex.)
 
Il semble qu'une solution à base de ht-acces soit envisageable mais pose quelques problèmes d'utilisation.

mood
Publicité
Posté le 15-05-2005 à 18:03:41  profilanswer
 

n°1084426
esox_ch
Posté le 15-05-2005 à 18:04:35  profilanswer
 

Et le probleme est???


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084446
slash33
Posté le 15-05-2005 à 18:14:21  profilanswer
 

Sécuriser les fichiers téléchargeables

n°1084449
slash33
Posté le 15-05-2005 à 18:14:59  profilanswer
 

En fait ce sont des logiciels complets à plusieurs M€, tu vois pourquoi ça doit être BLINDE!

n°1084450
esox_ch
Posté le 15-05-2005 à 18:15:09  profilanswer
 

Il y a une tonne de doc la dessus, mais tu as raison, faut faire ça avec les htacces, bonne chance


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084463
slash33
Posté le 15-05-2005 à 18:18:30  profilanswer
 

Heu je débute en PHP (mais pas en prog):
 
Une question me viens à l'esprit, comment empêcher l'affichage de la fenêtre de login affichée par le système de gestion ht-acces (si j'ai bien compris son fonctionnement) alors que l'utilisateur c'est déja authentifié?

n°1084469
slash33
Posté le 15-05-2005 à 18:19:22  profilanswer
 

oups je voulais dire "s'est déja authentifié"

n°1084474
pmusa
▓▓▓▓▓▓▓
Posté le 15-05-2005 à 18:20:37  profilanswer
 

il l'affiche plus tant que tu ferme pas ta fenetre.  :) c'est bien foutu hein?  :)

n°1084481
slash33
Posté le 15-05-2005 à 18:23:03  profilanswer
 

oui effectivement ça l'est. Il suffit donc de mettre ma page de login dans le répertoire sécurisé avec les fichiers c'est ça?

n°1084485
slash33
Posté le 15-05-2005 à 18:24:13  profilanswer
 

esox_ch: tu sembles en savoir long sur le sujet, a tu des liens à me passer STP?

mood
Publicité
Posté le 15-05-2005 à 18:24:13  profilanswer
 

n°1084490
pmusa
▓▓▓▓▓▓▓
Posté le 15-05-2005 à 18:25:52  profilanswer
 

"page de login", faut voir ce que tu entend par là. :/ il faut juste mettre un fichier .htaccess (et .htpasswd)
 
tape "htaccess" sur google et lis.  :D
 
edit:
et je plussois ce qu'à dit esox, il te faut imperativement du htaccess et aucune autre methode d'authentification. c'est sans aucun doute la solution la plus fiable si tes programmes sont si couteux.  :jap:


Message édité par pmusa le 15-05-2005 à 18:28:10
n°1084497
esox_ch
Posté le 15-05-2005 à 18:27:41  profilanswer
 

Perso je gere pas les autorisations avec htacces + htpassword parceque j'aime pas ne pas savoir qui accede quand &co, et vu que les logs apache sont pas toujours à dispo ... En general je deplois ça autrement ... Mais matte un peu sur le net la doc su htaccess ,tu y trouve facilement tout ce qui peut servire


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084501
pmusa
▓▓▓▓▓▓▓
Posté le 15-05-2005 à 18:30:21  profilanswer
 

il est obligé de faire avec htaccess de toute façon. sinon on va lui aspirer ses programmes.  :D

n°1084503
slash33
Posté le 15-05-2005 à 18:32:15  profilanswer
 

bon je résume l'architecture:
 
module libre d'accès -> page d'authentification -> module de téléchargement réservés uniquement aux membres.
 
le module de téléchargement compte plusieurs pages php.
la page d'authentification est une page perso (pas celle de htacces).
Les utilisateurs appartiennent à des catégories différentes Chaque catégorie à des droits différents.
Utilisateurs et mots de passe sont gérés dans la base de données.
Utilisation des Sessions

n°1084506
yoyo354
Yoyo, le roi du ...
Posté le 15-05-2005 à 18:33:22  profilanswer
 

Oui je pense. Pour plus d'info http://fr2.php.net/features.http-auth.
 
( slash33 : Il y a un bouton "éditer"(une feuille avec une gomme) qui permet d'éviter de poster un message pour corriger le message que l'on a posté. )

n°1084507
slash33
Posté le 15-05-2005 à 18:34:38  profilanswer
 

Donc ma contrainte, est comme esox_ch, de savoir QUI se log pour déterminer ses droits.

n°1084508
esox_ch
Posté le 15-05-2005 à 18:36:09  profilanswer
 

Ca tu peux soit essayer de te la jouer un peux avec les permissions & co, soit faire une interface php qui viendra se poser par dessus de ton htaccess


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084509
pmusa
▓▓▓▓▓▓▓
Posté le 15-05-2005 à 18:36:59  profilanswer
 

nan. ça c'est bien pour proteger l'accès à des pages. pour des programmes moi j'frais pas comme ça. :/
--> moi jdis htaccess c'est tout.  :o
 
tes programmes peuvent être telechargés par des logiciels dédiés à distance. le htaccess leur coupe la connexion alors que ton fichier avec du code php (que ce soit super bien fait, avec des sessions et blablabla) n'y fera rien.

n°1084510
esox_ch
Posté le 15-05-2005 à 18:38:21  profilanswer
 

Et c'est la que tu te plantes :p. Je parle pas de pages secretes ou les liens seront recenssés, je parle d'un deny all dans le htacces et que seulement apres t'etre identifié tu puisse les chopper ..


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084511
slash33
Posté le 15-05-2005 à 18:39:01  profilanswer
 

esox_ch a écrit :

Ca tu peux soit essayer de te la jouer un peux avec les permissions & co, soit faire une interface php qui viendra se poser par dessus de ton htaccess


 
Cela me semble être une alternative interessante, comment fais-tu dans la pratique?


Message édité par slash33 le 15-05-2005 à 18:40:02
n°1084512
esox_ch
Posté le 15-05-2005 à 18:39:55  profilanswer
 

Bein la je te renvoie a des tutoriaux PHP, je peux pas t'apprendre en directe comment creer une interface d'autentification .. c'est ... relativement long :p


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084513
slash33
Posté le 15-05-2005 à 18:40:49  profilanswer
 

esox_ch a écrit :

Bein la je te renvoie a des tutoriaux PHP, je peux pas t'apprendre en directe comment creer une interface d'autentification .. c'est ... relativement long :p


D'accord mais t'as pas un lien STP?

n°1084518
esox_ch
Posté le 15-05-2005 à 18:46:00  profilanswer
 

La doc sur www.php.net, y a une section securité  
et jepense que sur tout bon site genre developpez il doit y avoir de quoi faire


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1084522
slash33
Posté le 15-05-2005 à 18:47:59  profilanswer
 

D'ac je regarderais dans le détail, merci à tous pour la participation.

n°1084578
afbilou
pouet your life
Posté le 15-05-2005 à 19:16:23  profilanswer
 

Une solution:
 
1. mettre tes logiciels dans un repertoire avec un "deny from all"
2. le telechargement pourra se faire via un script php qui acceptera le telechargement si des variables de sessions attestent de l'identite de la personne.
3. une interface de login/pass pas franchement difficile a mettre en place qui cree les variables de sessions qui vont bien si la personne a mis les bons login/pass.
 
En klk mots :
Pour recuperer tes fichiers via HTTP une seule solution : le script php qui passe outre le .htaccess et qui verifient la presence des bonnes variables de sessions pour autoriser le telechargement.

n°1084698
pmusa
▓▓▓▓▓▓▓
Posté le 15-05-2005 à 20:34:39  profilanswer
 

esox_ch a écrit :

Et c'est la que tu te plantes :p. Je parle pas de pages secretes ou les liens seront recenssés, je parle d'un deny all dans le htacces et que seulement apres t'etre identifié tu puisse les chopper ..


ué ué on se comprend. j'insistais sur le htaccess. après comment tu bidouille on s'en branle.

n°1084941
cerel
Posté le 16-05-2005 à 00:06:14  profilanswer
 

C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin.
 
La mise en place d'une section en ssl me parait deja mieux.

n°1084943
esox_ch
Posté le 16-05-2005 à 00:11:27  profilanswer
 

cerel a écrit :

C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin.
 
La mise en place d'une section en ssl me parait deja mieux.


 
 
C'est clair qu'apres on peut broder :D . Mais la piste que j'ai proposé n'empeche en rien le ssl :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1086451
slash33
Posté le 17-05-2005 à 12:00:09  profilanswer
 

cerel a écrit :

C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin.
 
La mise en place d'une section en ssl me parait deja mieux.


 
Est-ce indispensable, si les mots de passe sont cryptés?

n°1086453
slash33
Posté le 17-05-2005 à 12:02:05  profilanswer
 

afbilou a écrit :

Une solution:
 
1. mettre tes logiciels dans un repertoire avec un "deny from all"
2. le telechargement pourra se faire via un script php qui acceptera le telechargement si des variables de sessions attestent de l'identite de la personne.
3. une interface de login/pass pas franchement difficile a mettre en place qui cree les variables de sessions qui vont bien si la personne a mis les bons login/pass.
 
En klk mots :
Pour recuperer tes fichiers via HTTP une seule solution : le script php qui passe outre le .htaccess et qui verifient la presence des bonnes variables de sessions pour autoriser le telechargement.


 
Comment est-il possible de passer outre le htaccess justement  :heink:  

n°1086560
slash33
Posté le 17-05-2005 à 13:40:52  profilanswer
 

Chase a écrit :

On peut passer outre, quand les fichiers sont lus du côté serveur (donc par PHP !)
 
Le htaccess ne marche que quand on passe par apache, donc uniquement pour les accès direct par URL.


 
Bon à savoir :jap:  

n°1086564
esox_ch
Posté le 17-05-2005 à 13:43:33  profilanswer
 

Faut m'expliquer comment on pourrait lire une fichier qui se trouve dans une directory "deny all" sinon :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1086591
slash33
Posté le 17-05-2005 à 14:02:44  profilanswer
 

esox_ch a écrit :

Faut m'expliquer comment on pourrait lire une fichier qui se trouve dans une directory "deny all" sinon :D


 
Par FTP par ex?

n°1086605
esox_ch
Posté le 17-05-2005 à 14:09:18  profilanswer
 

Je parlais toujours du monde php...


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1086676
Gurney_Hal​leck
dévisage des figures
Posté le 17-05-2005 à 14:27:59  profilanswer
 

Peut être que ça n'a rien à voir, mais ça pourrait t'aider :
 
le "script" (à son niveau, on peut plus appelé ça un script [:ddr555] ) de gallery2 (gallery.sf.net) fonctionne sur un principe intéressant.
 
Les photos ne sont pas accessibles directement, elles sont stockées sur un dossier qui n'est pas dans le htdoc d'Apache.
 
Donc, il est obligatoire de passer par le php pour y accéder. Ça me semble répondre à ce que tu veux : tu te fais pas chier avec des .htaccess, et tu gères tes droits facilement.
 
Après, je sais pas si c'est applicable pour des fichiers (même si à priori, je ne vois pas pourquoi ça ne le serait pas)...
 
Voilà, peut être une autre piste :)


---------------
Mon blog
n°1087082
slash33
Posté le 17-05-2005 à 18:33:35  profilanswer
 

Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site?

n°1087211
esox_ch
Posté le 17-05-2005 à 20:56:07  profilanswer
 

slash33 a écrit :

Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site?


 
Toutafé, tu peux pas le faire :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1087391
Gurney_Hal​leck
dévisage des figures
Posté le 18-05-2005 à 00:51:25  profilanswer
 

slash33 a écrit :

Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site?


 
 
Ah ok, tu peux pas faire ce que tu veux :/
 
Tu peux pas lui demander ? Si c'est le site de ta boite, tu dois pouvoir t'arranger :o


---------------
Mon blog
n°1087407
esox_ch
Posté le 18-05-2005 à 07:51:51  profilanswer
 

Gurney_Halleck a écrit :

Ah ok, tu peux pas faire ce que tu veux :/
 
Tu peux pas lui demander ? Si c'est le site de ta boite, tu dois pouvoir t'arranger :o


 
Si vous plait! Vous me laissez l'acces a /usr/sbin ? J'aimerais placer des trucs laba dedans :D


---------------
Si la vérité est découverte par quelqu'un d'autre,elle perd toujours un peu d'attrait
n°1087429
slash33
Posté le 18-05-2005 à 08:59:08  profilanswer
 

Donc il vaux mieux les conserver dans le dossier htdocs  :??:  
et faire un ftp pour mettre à jour les fichiers?


---------------
Touche pas à mon code!
mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Programmation
  PHP

  Sécuriser l'accès à des fichiers (non php)

 

Sujets relatifs
nbre de fichiers dans un répertoireFichiers et dossiers doubles
Problème d'ouverture de fichiers au format .RRD ???format des fichiers .dic
Basculer d'1 point d'accès à 1 autreservlet et accés à la base de donnée oracle
rechercher des mots dans un fichiers txtInterdir accès dossier, mais pas au fichiers [Résolu]
Erreur : Accès refusé pour l'utilisateur: 'postgres'@'@localhost' (mot 
Plus de sujets relatifs à : Sécuriser l'accès à des fichiers (non php)


Copyright © 1997-2018 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR