Discussion :

[jeanphi6]

Je suis dans le dev' d'un site web, et je posais une question concernant le fichier .htacess et la sécurité de fichiers.

J'ai différents documents que je voudrais protéger au maximum et je me demandais si on pouvait (avec un fichier htacess ou autre) empêcher la récupération de fichiers. (Par exemple pour un fichier css, en tapant l'url du document dans la barre d'adresse, celui-ci s'affiche. )

Avec un fichier htacess et un "deny all" mis à la racine de mon dossier à protéger (contenant le css par exemple), le site ne prend plus en compte le css (logique en même temps).

Je pense que je n'ai pas compris grand chose au htacess (pourtant j'ai lu plein de tutos, mais je ne voudrais pas utiliser de fichier de password, peut être est-ce obligatoire ...) mais je voulais poser ma question afin que des personnes comprennent bien mon problème et puissent m'aiguiller.

Edit : j'ai une autre petite question concernant la protection de dossier : si par exemple dans mon site, j'ai un répertoire /toto ... en tapant dans l'adresse mon_site/toto, on liste le répertoire ... est ce qu'on peut interdire cela ?

Merci

[julp]

J'ai différents documents que je voudrais protéger au maximum et je me demandais si on pouvait (avec un fichier htacess ou autre) empêcher la récupération de fichiers. (Par exemple pour un fichier css, en tapant l'url du document dans la barre d'adresse, celui-ci s'affiche. )

Avec un fichier htacess et un "deny all" mis à la racine de mon dossier à protéger (contenant le css par exemple), le site ne prend plus en compte le css (logique en même temps).

Je pense que je n'ai pas compris grand chose au htacess (pourtant j'ai lu plein de tutos, mais je ne voudrais pas utiliser de fichier de password, peut être est-ce obligatoire ...) mais je voulais poser ma question afin que des personnes comprennent bien mon problème et puissent m'aiguiller.

En fait pour bloquer l'accès à une CSS, des images ou autres à quiconque sauf si la requête HTTP est liée à votre site, on se base sur l'entête HTTP_REFERER. Elle indique en théorie l'adresse de provenance de l'utilisateur (qui devrait donc être votre site) mais elle n'est pas fiable car transmise par le client (elle peut être volontairement omise voire "trafiquée"). Mais techniquement et en utilisant le module de réécriture cela doit se traduire ainsi (nom de domaine à adapter) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://.*\.nom_de_domaine\.fr/ [NC]
    RewriteRule \.css$ - [F,NC] # Vous pouvez remplacer F par R=403
</IfModule>

Si quelqu'un tente de faire appel, depuis un site externe, à une de vos CSS elle ne devrait pas être prise en compte (ici une erreur 403 - Forbidden - étant renvoyée par votre serveur).

j'ai une autre petite question concernant la protection de dossier : si par exemple dans mon site, j'ai un répertoire /toto ... en tapant dans l'adresse mon_site/toto, on liste le répertoire ... est ce qu'on peut interdire cela ?

Retirer l'option Indexes qui justement a pour but de lister les fichiers en l'absence d'un fichier de répertoire (cf directive DirectoryIndex) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Options -Indexes

[jeanphi6]

Mais le

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

options -Indexes

se fait dans quel fichier ? .htacess ?

Pour info c'est un site hébergé chez free ... et free permet toutes ces infos ?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
<IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteCond %{HTTP_REFERER} !^$
    RewriteCond %{HTTP_REFERER} !^http://.*\.nom_de_domaine\.fr/ [NC]
    RewriteRule \.css$ - [F,NC] # Vous pouvez remplacer F par R=403
</IfModule>

euh ... c'est à mettre dans le fichier .htacess tout cela ?

Sinon on vient de me proposer une autre idée, mettre dans les dossiers, un fichier index.html qui fait une redirection vers une autre page. On voit un léger décalage, mais ce n'est pas bien méchant

[julp]

Oui ces directives seraient à placer dans un fichier .htaccess mais je doute en effet que l'hébergeur Free.Fr ne les accepte/prenne en compte.

Sinon on vient de me proposer une autre idée, mettre dans les dossiers, un fichier index.html qui fait une redirection vers une autre page. On voit un léger décalage, mais ce n'est pas bien méchant

Oui c'est une solution (l'idéal pour une redirection étant de l'effectuer côté serveur pour des raisons de "portabilité" notamment).

[jeanphi6]

Je vais essayer cela et je verrais si Free accepte cela.

Merci