ATTENTION GROS NOOB : Mettre un mot de pass sur une page web

Répondre
Partager Rechercher
Bonjour, Bonsoir
J'ai un site web où j'ai juste uploadé des photos, or je n'aimerai pas que le surfeur moyen puisse les consulter, j'en viens donc a la question : Comment faire pour protéger l'accès de mon site ? (pas besoin d'avoir une méga protection de la mort qui tue qui de toutes façon est quand même faillible, je veux juste un truc bloquant le badau !)
j'ai pas l'impression de m'être mal fait comprendre ( pas de mal ), sur un site perso sans connaissance en info et facilement, tu n'as pas grand chose de vraiment plus sécurisé qu'un index.html vide.
Tu claques les photos dans un sous-dossier, avec un nom plus ou moins aléatoire, tu met un index.html vide, et le commun du peuple qui va arriver sur ta page perso il va rien voir.
Pour avoir accés à tes photos, il va devoir deviner le nom du dossier, et nom de chaque photos, casse incluse ( "MaNiEcE.jPg" <> "maniece.jpg" ).
Donc si il ne sait pas ce qu'il vient chercher, il va difficilement réussir à trouver.

Sauf si il y a moyen de mettre un .htaccess ( Pour site apache ) sur ton site perso, mais je doute.
Oui, va falloir nous donner les possibilités de ton hébergeur.
Si tu as droit aux .htaccess, ça roule, sinon va falloir faire ça en PHP, et si tu n'as pas de langage server-side, faudra passer par "l'astuce" des URL non intuitives (ce qui est une très mauvaise pratique...)
Mets un .htaccess, mais il faut avoir accès à une passerelle pour chiffrer les mots de passe (sauf si ils sont en clair dans le fichier comme chez Free).

En gros dans le répertoire où sont tes photos, tu mets un fichier nommé .htaccess (avec le point) qui comporte:
Code:
<Files .htaccess>
order allow,deny
deny from all
</Files>
AuthType Basic
AuthUserFile /zogzog/.tagazok/.ils_ont_le_droit_de_venir.txt
AuthName "Acces restreint"
Require valid-user
Le chemin du AuthUserFile est le chemin réel (pas l'url, mais le chemin réel des répertoires du disque où tu es hébergé) où tu places un fichier du nom que tu veux (je conseille vivement qu'il commence par un point "." et qu'il ne soit pas .htpasswd comme on le voit ici et là) qui contient tout simplement:
Code:
login:mot_de_passe
login1:mot_de_passe_1
login2:mot_de_passe_2
etc.
Sauf chez Free, le mot de passe doit être chiffré (crypté on dit en mauvais français) en utilisant la commande unix idoine, ou via une passerelle web quand on a pas accès à son hébergement en ligne de commande (voir la doc de ton hébergeur à ce propos).
Il est *très* vivement conseillé de placer ce fichier de mots de passe en dehors des répertoires accessibles via le web (par exemple *pas* dans le répertoire www/ ou public_html/ ou du même genre dans lequel on place ses pages html), et de toutes façons dans un répertoire dont le nom commence par un point "." et qui va lui-même contenir le fichier .htaccess suivant:
Code:
deny from all
Options -Indexes
Avec ceci tu as une bonne protection, pas de quoi mettre en ligne tes coordonnées bancaires mais suffisantes pour l'extrême majorité des gens.

Attention tous ces fichiers doivent être transférés en mode ASCII par ton logiciel FTP (sauf si tu utilises pour les créer le même OS que ton hébergeur).

Si c'est trop compliqué pour toi (mais bon, il suffit de faire ce qui est marqué hein) la technique du fichier index.html vide (ou du fichier .htaccess qui ne contient que la ligne Options -Indexes , ce qui revient au même) est suffisante pour MonsieurToutLeMonde, tu peux aussi créer un répertoire au nom secret qui ne sera marqué nul part, seuls ceux qui connaissent le nom pourront y accéder.
La protection *Nix/Apache (le .htaccess) est tout de même très simple, et bien efficace (pour simplifier, le moyen le plus simple pour la contourner c'est d'espionner les paquets transmis/reçus puisqu'à chaque GET en HTTP le couple login/pwd est envoyé en clair; bref pour du site perso c'est largement suffisant).

Par contre les bidouilles en Perl/PHP/Java ou pire Javascript, c'est tout sauf sur, et c'est surtout bien plus compliqué que 3 lignes dans un fichier texte.

Accessoirement le htaccess permet plein de choses, de façon simple la gestion personnalisées des erreurs (page non trouvée, accès au document refusé), la gestion des listings (peut-on voir le contenu d'un répertoire ?), le déplacement de page web (au lieu de l'infâme bidouille HTML qui est généralement utilisé pour cela), voir même des choses plus poussées comme la réécriture d'URL.
Citation :
Provient du message de Blacky---
La protection *Nix/Apache (le .htaccess) est tout de même très simple, et bien efficace (pour simplifier, le moyen le plus simple pour la contourner c'est d'espionner les paquets transmis/reçus puisqu'à chaque GET en HTTP le couple login/pwd est envoyé en clair; bref pour du site perso c'est largement suffisant).
à un moment j'avais crypté moi-même .htaccess et un .htpasswd enfin sous DOS, avec l'aide d'un tutoriel multimania alors que je n'y connaissais rien en HTML ou en DOS
ça marchait bien

le truc de la page vide et du dossier connu juste par tes proches c'est très bien aussi

Citation :
Y'a un code javascript aussi pour ça je crois.
ça c'est nul en trois clics tu as le mot de passe et c'est justement ce genre de protection que tu as envie de contourner...
c'est le dernier truc que je te conseille
Répondre

Connectés sur ce fil

 
1 connecté (0 membre et 1 invité) Afficher la liste détaillée des connectés