Discussion :

[duchere]

Bonjour, j'ai un petit problème.. J'espère que quelqu'un pourra m'aider.. Je n'ai aucune idée...

Je stocke dans un dossier des images qui ne doivent être visibles que grâce à un mot de passe.
L'utilisateur s'identifie sur le site, donc fournit le mot de passe, et il peut alors demander à visionner les images.
Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...
La solution serait de mettre un htaccess mais je ne veux pas que l'utilisateur doive donner le mot de passe deux fois !
Est-il possible donc de protéger un dossier et que la saisie du mot de passe soit automatisée par le script puisque l'utilisateur a déjà donné une fois son mot de passe...
Je me suis fait comprendre ?
Pas sur...
Merci d'avance.
Jean

[alain31tl]

.............
Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...
.........Jean

Oui c'est vrai, sous réserve qu'il connaisse le nom du répertoire ou sont stockées les images.
Si celà peut arriver, tu intègres un fichier de type :
index.php, ou index.html dans ce même répertoire.
Celui qui accéde à ce répertoire trouvera une page vierge, où une information l’invitant à s’identifier pour accéder au contenu du répertoire/images.
Une page index intégrée dans un répertoire est inévitable.

Et pour ceux qui sont autorisés à lire ces images, tu peux créer un autre fichier ( toujours dans ce répertoire) pour l'affichage effectif des images.

[fallais]

Tout a fait un simple index.html dansce dossier peut bloquer la vision de l'arborescence. Mais ca n'empechera pas l'aspiration par un logiciel prevu a cet effet mais ca c'est inévitable

[Yogui]

Salut

ca n'empechera pas l'aspiration par un logiciel prevu a cet effet mais ca c'est inévitable

Non : si le dossier est protégé, alors aucun lien direct n'apparaît sans que l'utilisateur soit connecté. Du coup, un aspirateur ne pourra pas deviner les adresses directes.
Ce qu'il peut se passer, en revanche, est qu'un utilisateur connecté fasse circuler un lien direct vers une image. À partir de là, il est parfois possible de deviner les noms des autres images.

Le seul moyen de protéger efficacement un dossier complet est avec la combinaison .htaccess et .htpassword (aucun rapport avec PHP, il s'agit d'Apache)

[ozzmax]

Le seul moyen de protéger efficacement un dossier complet est avec la combinaison .htaccess et .htpassword (aucun rapport avec PHP, il s'agit d'Apache)

Oui mais a ce moment il retombe dans le meme probleme et devra entrer a nouveau un mots de passe pour acceder au dossier non??

Cependant, celui qui n'a pas le mot de passe peut visionner l'image en allant directement dans le dossier où sont les images...

C'est ca qui me fuck un peu...pk l'utisateur a acces au dossier??...par l'url tu donnes l'acces afin qu'il puisse voir le dossier directement?

pk ne pas faire afficher les photo dans une page...en lisant le contenu du dossier?

[Yogui]

Soit tu connais masl l'utilisation du .htaccess/.htpassword, soit ton navigateur te fait des misères

Le fichier .htaccess, en demandant une authentification HTTP, te demande un login/password et vérifie tout cela à l'aide du .htpassord ; si erreur, alors il faut recommencer ; si ok, alors le navigateur se charge de renvoyer automatiquement le couple login/password à chaque chargement de page, un peu à la manière d'un cookie.
Bien sûr, cela augmente la probabilité qu'un "man in the middle" écoute le réseau...

[ozzmax]

oki je connais p-e pas toute l'étendu du .htaccess/.htpassword

mais bon je sais que ca garde ta session un peu comme un cookie

je voulais dire par là
si en se loggant sur le site (qui n'est pas protégé par htaccess)... on veut acceder a un dossier qui l'est...alors ce dernier va demande l'authentification puisqu'il n'y a pas de "session enregistré" avec cet htaccess??

et d'après mon post c'était une question..mais merci de m'éclairer pareil

[Yogui]

Évidemment, le mot de passe est demandé au moins une fois ! Sans cela, comment veux-tu protéger quoi que ce soit ?
Je voulais dire qu'htaccess ne devrait pas te demander le mot de passe "une deuxième fois", ce qui est exactement ce que notre ami essaie d'éviter.