Forum

Bonjour


Je me faisais la réflexion suivante: dans la mesure ou l'accès admin donne la possibilité de faire de l’édition en base de données via le module base de données et dans le cas ou un petit malin arriverait à passer l'étape de sécurité il me parait judicieux d'ajouter une protection supplémentaire .

J'ajoute donc un .htacces et un htpasswd directement dans le répertoire /htdocs/admin

.htaccess:



.htpasswd




Sous linux par exemple avec lampp pour le développement la commande htpasswd permet de générer facilement un utilisateur et un mot de passe crypter que apache saura décoder.



avec la ligne obtenue :


vous ajoutez dans le .htpasswd le contenue sans le $ et le . à la fin.



Lorsque vous être connecté au site et que vous allez dans l'admin une fenêtre vous demandera de vous identifier.

Bien sur le mieux est d'utiliser un login différent de votre compte dans phpboost.
Le .htpasswd peut contenir une liste de plusieurs utilisateurs ect ...et bien sur les fichier doivent être "chmodés" correctement donc en 644 depuis le ftp.

Si vous avez un problème de connexion c'est que le mot de passe à mal été saisi.
Renommez les fichiers .htaccess .htpasswd_.
Videz le cache de votre navigateur ensuite relancez le au besoin. Reconnectez vous à l'admin videz le cache (si besoin) du site renommez les deux fichiers et retentez la connexion.

Pour changer le mot de passe d'un des utilisateurs il suffit de se positionner dans votre répertoire puis (par exemple)



Il doit être possible de faire la même chose sous windows par le bias de la commande CMD

Édité par smaj Le 13/09/2016 à 12h41

Bonjour Smaj,

Très intéressant ce que tu nous montres
Malheureusement, nous ne disposons pas tous de Linux pour pouvoir crypter un ensemble user/password.

Une excellente idée à développer !

Cordialement,
Olivier.

Bonjour,

Cela peu se faire hors Linux avec un bout de code php voir même des sites en ligne ou certains hebergeurs proposent ce genre d'outils.

Cordialement, janus57

Je pense que ça doit pouvoir ce faire de la même façon avec cmd.exe il doit y avoir les commandes qui permettent d'aller dans le répertoire ou ce trouve xampp ou autre type d'installation.

http://windows.developpez.com/cours/ligne-commande/?page=page_4

Édité par smaj Le 13/09/2016 à 11h55

Tien pour windowsiens truc facile les doigts dans le nez : http://www.htpasswdgenerator.net/



Et surtout ne pas oublier d'appliquer les droits qui vont bien à priori 644 parait correcte.

Édité par smaj Le 13/09/2016 à 12h04

Voici un <a href="https://openclassrooms.com/courses/concevez-votre-site-web-avec-php-et-mysql/proteger-un-dossier-avec-un-htaccess">excellent tutoriel accessible</a> qui répond à peu près à tous les besoins sur la question pour les utilisateurs sous windows .
L'utilitaire en ligne est bien mais il y a moyen de réaliser un meilleur encryptage des mots de passe.

Sous linux la commande htpasswd ou /opt/lampp/bin/htpasswd vous donnera toutes les options possibles.