[FiRe_StoRM]

Bonjour.

Je commence tout doucement en tant que professionnel dans le monde du web.

Sur les 2-3 sites créé au cours, j'utilisais un dossier admin donc l'accès était protégé par une variable de session (via un formulaire de connexion avec login et mot de passe stockés dans la base de données, si tout est bon on forge la variable).

Seulement voilà, si le fichier principal est protégé (et encore, à mon avis y a de grosses failles sûrement), le reste de mes fichiers et sous-dossiers eux étaient donc accessible (à moins de faire chaque fois des vérifications, ce qui prend du temps inutilement, et puis impossible de faire du code php sur un fichier .jpg ou une vidéo à ce que je sache).

J'ai testé il y a quelques jours une autre façon de se connecter que par un formulaire avec variable de session: le fichier .htaccess (qui à le gros avantage de protéger le tout, et ça, c'est un gain de temps considérable).

Étant débutant en la matière, j'aurai voulu savoir si le .htaccess est réellement efficace pour des dossiers sensibles tel que le dossier admin, ou bien si il vaut mieux laisser tomber et trouver autre chose, et je profite donc des avis des experts ici présent.

Et aussi si possible, me donner un exemple de .htaccess correctement coder (pour ne pas avoir la bonne faille .htaccess, car là autant ne rien mettre ça revient au même).

Merci d'avance pour vos réponses.  

[mogg41]

Difficile de répondre à ta question sans donner de gros indices pour les épreuves de hack sur le htaccess.

Tu peux t'essayer à ces 2 challenges pour avoir un avis sur la question.

En gros htaccess est bien mais il y a quelques erreurs à ne pas commettre... Tu les trouveras assez facilement avec google.

[FiRe_StoRM]

J'ai réussi les 2 épreuves en question, et c'est justement en voyant des failles comme ça que je me dis que ce n'est pas super.

Maintenant à choisir entre un .htaccess ou mes codes très certainement foireux... le choix sera à mon avis vite fait mais j'aimerai ne pas me gourer (pas facile d'expliquer à un client que vous avez commis une gourde niveau sécurité et qu'il faut qu'il prévienne tout ses clients de changer de mot de passe et d'adresse email XD).

Faut encore m'excuser pour mon ignorance, comme dit je débute. ^^

N'hésitez pas à envoyer des mails privés si ça aide trop pour les épreuves (ce qui n'est pas faux je dois dire effectivement, je n'y avais pas pensé et ce n'était pas le but de faire un spoil).

Encore merci d'avance.

[mogg41]

Faut encore m'excuser pour mon ignorance, comme dit je débute. ^^

Il n'y a pas à t'excuser!


je ne suis pas un expert en sécurité, mais de ce que je connais de la protection .htaccess, elle est fiable si tu ne commets pas les erreurs de configuration que tu as pu voir dans les challenges.

[balou67]

Il me semble avoir déjà vu des images générées par php (ou avec au moins du php dedans),

Il faut par contre que le serveur interprète le jpg (ou autre), à moins qu'un php puisse forcer un mimetype au client.

(De tête et de très loin, vu que j'ai compris le concept par hasard il y a longtemps sans avoir cherché à le comprendre ou à l'approfondir, donc confirmation/correction bienvenue ^^ )

[NatsuFR]

J'ai réussi les 2 épreuves en question, et c'est justement en voyant des failles comme ça que je me dis que ce n'est pas super.

Maintenant à choisir entre un .htaccess ou mes codes très certainement foireux... le choix sera à mon avis vite fait mais j'aimerai ne pas me gourer (pas facile d'expliquer à un client que vous avez commis une gourde niveau sécurité et qu'il faut qu'il prévienne tout ses clients de changer de mot de passe et d'adresse email XD).

Faut encore m'excuser pour mon ignorance, comme dit je débute. ^^

N'hésitez pas à envoyer des mails privés si ça aide trop pour les épreuves (ce qui n'est pas faux je dois dire effectivement, je n'y avais pas pensé et ce n'était pas le but de faire un spoil).

Encore merci d'avance.

Si tu a peur de faire des erreurs de codage demande a quelqu'un qui si connais pour t'en faire un super secu