Sécurité - download fichiers sous htaccess
terminationx
Messages postés
4
Date d'inscription
Statut
Membre
Dernière intervention
-
terminationx Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
terminationx Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
Bonjour les amis,
Voilà mon problème en gros :
J'ai des scripts en PHP qui permettent à des clients d'uploader des documents Word dans la base de données de mon site.
Seulement, ces fichiers Word sont bien protégés par un htaccess et htpasswd, donc je suis amené lorsque je dois permettre aux clients de télécharger ce qu'ils ont uploadé de mettre dans l'adresse les codes d'accès htaccess de cette manière sinon çà ne marche pas :
http://login_htaccess:mdp_htaccess@localhost:8888/chemin/document.doc
Pour le moment tout va bien, le doc se télécharge sous Mozilla et IE. Et les liens ne sont pas visibles directement puisque c'est un système de page php qui recherche un lien dans un id dans une base mysql et renvoie l'adresse au navigateur. Sur Mozilla et IE pas de problème le client peut chercher où il veut même dans le cache il ne trouvera que l'adresse de la page php avec l'id qui ne lui serviront à rien :
http://localhost:8888/chemin_de_la_page/page_de_telechargement.php?parametreid=7875454545435
Par contre, le problème est que certains utilisent IDM ; ils visualisent donc déjà le login qui correspond à mon login htaccess !!!!!!!! Le mdp semble caché mais cela veut dire qu'il est bien enregistré dans IDM et qu'on peut le récupérer ????
Svp si vous pouvez m'aider comment contourner ce risque sécurité
Cordialement
Voilà mon problème en gros :
J'ai des scripts en PHP qui permettent à des clients d'uploader des documents Word dans la base de données de mon site.
Seulement, ces fichiers Word sont bien protégés par un htaccess et htpasswd, donc je suis amené lorsque je dois permettre aux clients de télécharger ce qu'ils ont uploadé de mettre dans l'adresse les codes d'accès htaccess de cette manière sinon çà ne marche pas :
http://login_htaccess:mdp_htaccess@localhost:8888/chemin/document.doc
Pour le moment tout va bien, le doc se télécharge sous Mozilla et IE. Et les liens ne sont pas visibles directement puisque c'est un système de page php qui recherche un lien dans un id dans une base mysql et renvoie l'adresse au navigateur. Sur Mozilla et IE pas de problème le client peut chercher où il veut même dans le cache il ne trouvera que l'adresse de la page php avec l'id qui ne lui serviront à rien :
http://localhost:8888/chemin_de_la_page/page_de_telechargement.php?parametreid=7875454545435
Par contre, le problème est que certains utilisent IDM ; ils visualisent donc déjà le login qui correspond à mon login htaccess !!!!!!!! Le mdp semble caché mais cela veut dire qu'il est bien enregistré dans IDM et qu'on peut le récupérer ????
Svp si vous pouvez m'aider comment contourner ce risque sécurité
Cordialement
A voir également:
- Sécurité - download fichiers sous htaccess
- Votre appareil ne dispose pas des correctifs de qualité et de sécurité importants - Guide
- Mode securite - Guide
- Microsoft store download - Guide
- Canva download - Télécharger - Divers Photo & Graphisme
- Renommer des fichiers en masse - Guide
2 réponses
Il serait possible d'utiliser le module mod_auth_token pour une réelle protection des données (à installer avec APXS).
Bonjour Creadiff
OK Merci le auth token va donc me permettre de cacher le chemin des fichiers c'est bien ce que je cherchais au final.
Mais cela veut dire que je dois laisser tomber le htaccess n'est-ce pas ? Car sinon cela ne me règle pas le problème des codes d'accès htaccess dans le lien de téléchargement puisque je devrai quand même mettre les codes d'accès htaccess, non ?
Pour le APXS j'ai téléchargé depuis apachelounge la v windows mais la méthode d'installation est pas superclaire même si je comprends bien l'anglais :
"This distribution contains scripts to install the utilities
apxs, apr-config, and apu-config on Win32 for use with Apache2.
To install, at a DOS prompt run perl Configure.pl which will attempt to find your top-level Apache2 directory.
If this is unsuccessful, or the guess is wrong, run perl Configure.pl --with- pache2=\Path\to\Apache2 The utilities will be placed under \Path\to\Apache2\bin\.
If you are building for Apache 2.1-dev/2.2, you will discover that it's now httpd.exe, not Apache.exe. Specifying perl Configure.pl --with-apache-prog=httpd.exe will provide the results you hoped for."
Juste pour confirmer en gros il faudrait tout simplement lancer une invite, et ouvrir Configure.pl et il fait le reste tout seul ? (effectivement il est bien dans les fichiers à télécharger).
Thanks for your lights
Best Regards
OK Merci le auth token va donc me permettre de cacher le chemin des fichiers c'est bien ce que je cherchais au final.
Mais cela veut dire que je dois laisser tomber le htaccess n'est-ce pas ? Car sinon cela ne me règle pas le problème des codes d'accès htaccess dans le lien de téléchargement puisque je devrai quand même mettre les codes d'accès htaccess, non ?
Pour le APXS j'ai téléchargé depuis apachelounge la v windows mais la méthode d'installation est pas superclaire même si je comprends bien l'anglais :
"This distribution contains scripts to install the utilities
apxs, apr-config, and apu-config on Win32 for use with Apache2.
To install, at a DOS prompt run perl Configure.pl which will attempt to find your top-level Apache2 directory.
If this is unsuccessful, or the guess is wrong, run perl Configure.pl --with- pache2=\Path\to\Apache2 The utilities will be placed under \Path\to\Apache2\bin\.
If you are building for Apache 2.1-dev/2.2, you will discover that it's now httpd.exe, not Apache.exe. Specifying perl Configure.pl --with-apache-prog=httpd.exe will provide the results you hoped for."
Juste pour confirmer en gros il faudrait tout simplement lancer une invite, et ouvrir Configure.pl et il fait le reste tout seul ? (effectivement il est bien dans les fichiers à télécharger).
Thanks for your lights
Best Regards