|
|
|
|
Proteger un repertoire web
|
Protéger une section de votre site grâce au .htaccess : Le système de fichier .htaccess est le système sécurisé pour protéger une partie de votre site à l'aide d'un identifiant prédéfini.
|
|
Principes de fonctionnement
Le fichier .htaccess est placé dans le répertoire dans lequel il doit agir. Il agit ainsi sur les permissions du répertoire qui le contient et de tous ses sous-répertoires.
Le système comprend 2 fichiers :
.htaccess : comporte les paramètres de l'identification, les différents chemins de répertoires des fichiers, le message d'alerte
.htpasswd : comporte les identifiant et les mot de passe correspondant. Les mots de passe doivent petre cryptés. Il est à noter que le nom du fichier peut etre modifier : .motsdepasse , .motsdepassesecrets ...
Création du fichier .htaccess et .htpasswd :
Sous Windows, voici la démarche à suivre pour créer un fichier .htaccess :
- créer un fichier texte (grace au BlocNote ou Notepad) nommé : test.htaccess
- puis renommer le fichier dans le poste de travail en supprimant le nom du fichier : test
- meme opération pour le fichier de mot de passe .htpasswd
Exemple type d'un fichier .htaccess :
AuthUserFile /repertoire1/répertoire2/.htpasswd
AuthGroupFile /dev/null
AuthName "L'accès est sécurisé, saisissez votre identifiant et mot de passe !"
AuthType Basic
<LIMIT GET POST>
Require valid-user
</LIMIT>
Explication des valeurs :
* AuthUserFile : présente l'emplacement du fichier contenant les identifiants et mots de passe des utilisateurs autorisés. Ainsi il est nécessaire d'indiquer le chemin d'accès vers le fichier de mot de passe (.htpasswd)
* AuthGroupFile : présente l'emplacement du fichier contenant les groupes d'utilisateurs autorisés. Ici également, indiquer le chemin d'accès au fichier de mot de passe (.htpasswd). Le groupe en question est définit comme nul avec la valeur : /dev/null
* AuthName : affiche dans le navigateur un message inscrit entre les guillements
* AuthType Basic : précise qu'il faut utiliser AuthUserFile pour l'authentification
* <LIMIT GET POST> </LIMIT> : définie le type de méthode HTTP auxquelles la restriction s'applique
* require valid-user : précise que l'on autorise uniquement les personnes identifiées.
Pour une utilisation simplifiée du dydtme de fichier .htaccess, il est inutile de modifier les valeurs : AuthType Basic , <LIMIT GET POST> </LIMIT> , require valid-user .
Le fichier .htpasswd
Exemple type d'un fichier .htpasswd :
sandrine:$1$w/BcRDN3$Y1.u.esWoJLK2v50Z318B.
julien:$1$Hh.GFx3g$0RkqeebXJAOjeGHyOqZbA.
machintruc:$1$UVgnudy9$vr2NbmyD/VuSYY73Ty2Da.
Explication du fichier .htpasswd :
Le fichier de mot de passe (.htpasswd) est un fichier texte contenant une entrée par ligne : l'identifiant de l'utilisateur autorisé suivi des deux points (:) puis du mot de passe crypté.
Ces informations seront à transmettre à vos contact afin que ceux-ci s'identifie convenablement.
Crypter les mots de passe pour le fichier .htpasswd :
Afin de crypter efficacement vos mots de passe, nous vous conseillons l'utilitaire à cette adresse : http://cobalt.golden.net/generator/index.cgi
Saisissez votre identifiant et mot de passe, l'utilisataire génère la ligne à placer (par un copier/coller) dans le fichier .htpasswd
Notes importante concernant les fichiers :
.htaccess et .htpasswd cachés :
Les fichiers du type .htaccess et .htpasswd sont cachés sur le serveur afin d'augmenter la sécurité de l'authentification de vos utilisateurs.
Afin de manipuler les fichiers normalement, utilisez un logiciel FTP (ex : Filezilla, gratuit et en français) et validez l'option pour visualiser les fichiers cachés.
A propos des noms de fichiers :
Le nommage des fichiers obéit à des règles strictes : n'utilisez ni majuscule, ni espace, ni caractères spéciaux.
Pour le serveur d'hébergement UNIX un fichier nommé FICHIER.HTM est différent de fichier.htm .
|
|
| |
| |
|
|
|
