WampServer

Apache, PHP, MySQL on Windows 

 
  • Accueil forum
  • Retour à WampServer
  • presentation
  • Download
  • Addons
  • Formations
  • Alter Way

 
Voir le sujet: Précédent•Suivant
Aller à : Liste des Forums•Liste des messages•Nouvelle discussion•Recherche•Connexion•Imprimer la vue
[Terminé] .htpasswd, par curiosité
Envoyé par: Philor (---.w86-212.abo.wanadoo.fr)
Date: 21 March 2020 à 10:42

Bonjour,
Je vous espère en bonne santé

Après quelque temps de "tranquille galère" je viens de comprendre que les mots de passes du .htpasswd doivent être en clair (il parait que c'est ça aussi chez free et c'est ce qui m'a fait tilt).

A titre de curiosité savez-vous quelle est la raison du non cryptage ?

(Il va falloir que je m'en souvienne quand je basculerai en ligne !)

Avec mes remerciements
Phil



Modifie 1 fois. Derniere modification le 21/03/2020 à 16:26 par Philor.

Options: Répondre•Citer ce Message
Re: .htpasswd, par curiosité
Envoyé par: Otomatic (Modérateur)
Date: 21 March 2020 à 11:35

Bonjour,

Il existe des possibilités de cryptage, mais pas chez Free ni chez certains des hébergements “simples”, c'est-à-dire sans accès à la configuration Apache.

De base, le serveur (httpd.conf) comprend :
# The following lines prevent .htaccess and .htpasswd files from being
# viewed by Web clients.
#
<Files ".ht*">
    Require all denied
</Files>
J'ai un hébergement qui n'accepte que les mots de passe cryptés ; c'est l'hébergeur qui vous dit comment crypter.

Mais attention... Free ne gère pas les le chemin du fichier .htpasswd de manière identique à Apache Wampserver, comme d'ailleurs, là aussi, beaucoup d'hébergeurs.

En local, il faut donner le chemin complet absolu.
Chez l'hébergeur, il faut donner un chemin relatif (Relatif à ce que donne l'hébergeur)
Pour ne pas avoir à changer quoi que ce soit entre local et hébergeur, on peut gérer ça dans le fichier .htaccess, par exemple (Chemins et nom de sites bidons)
<ifDefine MONSITELOCAL>
	AuthType Basic
	AuthName "MonSite Local"
	AuthUserFile "D:/www/monsite/.htpasswd"
	require valid-user
</ifDefine>
<ifDefine !MONSITELOCAL>
	AuthType Basic
	AuthName "MonSite Distant"
	AuthUserFile "/srv/data/web/vhosts/servername/htdocs/mondossier/.htpasswd"
	require valid-user
</ifDefine>
et dans le fichier .htpasswd on aura le même mot de passe, une fois en clair et une fois crypté
monsitelocal:monpass
monsite:apCHTzwdLEZtQ

Et on ajoutera dans le VirtualHost local une variable Apache
Define MONSITELOCAL Local
qui, forcément ne pourra pas exister chez l'hébergeur.

---------------------------------------------------------------
Documentation Apache - Documentation PHP - Documentation MySQL - Wampserver install files & addons

Options: Répondre•Citer ce Message
Re: .htpasswd, par curiosité
Envoyé par: Philor (---.w86-212.abo.wanadoo.fr)
Date: 21 March 2020 à 15:20

Bonjour,

Merci Oromatic pour ces considérations.
Je vais garder l'idée du ifDefine dans le .htaccess, histoire de soulager mon alzeimer.

> Pour ne pas avoir à changer quoi que ce soit entre local et hébergeur, on peut gérer ça dans
> le fichier .htaccess, et dans le fichier .htpasswd on aura le même mot
> de passe, une fois en clair et une fois crypté:
monsitelocal:monpass
monsite:apCHTzwdLEZtQ
Ce que je comprends dans le code du .htpassword ci-dessus est-il exact ? :
MonLogin:MonPass
MonLogin:MonPassCrypté

> Et on ajoutera dans le VirtualHost local une variable Apache
> Define MONSITELOCAL Local

Ceci je pense dans le fichier wamp\bin\apache\apache2.4.41\conf\extra\httpd-vhosts.conf ?

Ce qui attisait ma curiosité était de savoir ce qui décide de la nécessité du cryptage ou non. Est-ce une directive apache, ou php ...
Il faut bien qu'à un moment donné l'hébergeur fasse la comparaison du mdp saisi par l'utilisateur distant avec le .htpassword.
De plus il parait qu'un mdp crypté n'est pas décryptable ...
D'où ma curiosité (peut-etre) déplacée.

Options: Répondre•Citer ce Message
Re: .htpasswd, par curiosité
Envoyé par: Otomatic (Modérateur)
Date: 21 March 2020 à 15:53

Bonjour,

Ce n'est pas pour faire joli que j'ai mis deux logins différents !
En effet si dans le .htpasswd on met deux fois le même login mais avec un pass différent, il est impossible pour Apache de savoir lequel des deux pass utiliser, il prendra le premier de la liste, c'est pourquoi, dans ce cas particulier où en local c'est en clair et crypté en distant, on ne peut pas faire autrement qu'utiliser deux logins différents.

Oui, le Define doit être dans le VirtualHost afférent, donc dans httpd-vhosts.conf.

Quand à savoir qui décide et comment, je n'en sais rien, n'ayant pas encore décortiqué la documentation Apache à ce sujet.

---------------------------------------------------------------
Documentation Apache - Documentation PHP - Documentation MySQL - Wampserver install files & addons

Options: Répondre•Citer ce Message
Re: .htpasswd, par curiosité
Envoyé par: Philor (---.w86-212.abo.wanadoo.fr)
Date: 21 March 2020 à 16:26

Bonjour,

D'accord ! et c'est effectivement logique, pardon pour ma niaiserie.

Donc je continuerai de travailler sans les protections de dossier en local.

Merci pour tout votre temps passé.

Options: Répondre•Citer ce Message
Re: .htpasswd, par curiosité
Envoyé par: Otomatic (Modérateur)
Date: 21 March 2020 à 16:37

Bonjour,

> Donc je continuerai de travailler sans les protections de dossier en local.
Bien relire ce que j'ai écrit précédemment winking smiley De base, le serveur (httpd.conf) comprend :

---------------------------------------------------------------
Documentation Apache - Documentation PHP - Documentation MySQL - Wampserver install files & addons

Options: Répondre•Citer ce Message
Re: [Terminé] .htpasswd, par curiosité
Envoyé par: Philor (---.w86-212.abo.wanadoo.fr)
Date: 21 March 2020 à 17:30

Bonjour,

oui oui, j'ai bien lu et même osé pousser le vice jusqu'à aller ouvrir le httpd.conf, mais là ça fait beaucoup pour ma ptite tête et mon peu de temps ...

Déjà "being viewed" : j'ai du mal à interpréter
Ensuite "Require all denied" : peut-on lui dire "sauf MonLogin" ...
En + il faut dire que "de mon temps" l'english n'était pas une priorité et que le brexit ne m'engage pas à progresser en la matière !

En ce moment et je peux laisser de côté en local en renommant (toujours en local) les .ht* en 0.ht*...

Merci pour tout

Options: Répondre•Citer ce Message
Re: [Terminé] .htpasswd, par curiosité
Envoyé par: Otomatic (Modérateur)
Date: 21 March 2020 à 18:26

Bonjour,

Comme quoi rien n'ai jamais terminé !

> Déjà "being viewed" : j'ai du mal à interpréter
Excellent traducteur en ligne, bien meilleur que Google translate : Deepl que, d'ailleurs, on peut installer sur le PC.
Par exemple :
The following lines prevent .htaccess and .htpasswd files from being viewed by Web clients.
Les lignes suivantes empêchent les fichiers .htaccess et .htpasswd d'être consultés par les clients Web.

> Ensuite "Require all denied" : peut-on lui dire "sauf MonLogin" ...
C'est ce que ça signifie d'office !
Enfin, pas exactement... Cela signifie que seules les requêtes qui proviennent directement du VirtualHost dans lequel sont les fichiers .htaccess/.htpasswd ne sont pas interdites, sinon, ça ne pourrait pas fonctionner en local.

---------------------------------------------------------------
Documentation Apache - Documentation PHP - Documentation MySQL - Wampserver install files & addons

Options: Répondre•Citer ce Message
Re: [Terminé] .htpasswd, par curiosité
Envoyé par: Philor (---.w86-212.abo.wanadoo.fr)
Date: 22 March 2020 à 00:44

Bonjour,

Merci Otomatic pour votre constance.

Je vais tester Deepl.

Mais pour apache je suis un peu dépassé et vais laisser l'indien de côté pour l'instant.
J'y reviendrai quand j'aurai un peu de temps et si corona ne m'a pas offert une ptite bière d'ici là.

Prenez soin de vous

Options: Répondre•Citer ce Message


Aller à : Liste des Forums•Liste des messages•Recherche•Connexion
Désolé, seuls les utilisateurs connectés peuvent envoyer des messages dans ce forum.
Cliquer ici pour se connecter

design by jidePowered by Alter Way get firefoxget PHP