faiblesses d'une protection via un htaccess

Le
Tr
Bonjour à tous,

j'ai envie d'utiliser une partie d'un espace web pour stocker des
fichiers sensibles.

je protège cet espace avec un .htaccess qui exige un seul utilisateur
et un mot de passe complexe.

que vaut cette protection au bout du compte, quels sont les risques de
se faire hacker cet hébergement (aspirateurs de site, robots, attaques
diverses et variées, etc trucs auquels je ne pense pas car assez
novice)
en bref, quelles sont les faiblesses d'une protection via un htaccess?

merci d'avance pour vos idées et vos remarques éventuelles avant de
mettre en place :-)

--
Aimez-moi, ne m'imposez pas! (Dieu)
tranquille.xav@gmail.com
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Francois Ortolo
Le #22973861
Le 31/12/2010 09:15, a écrit :
Bonjour à tous,

j'ai envie d'utiliser une partie d'un espace web pour stocker des
fichiers sensibles.

je protège cet espace avec un .htaccess qui exige un seul utilisateur et
un mot de passe complexe.

que vaut cette protection au bout du compte, quels sont les risques de
se faire hacker cet hébergement (aspirateurs de site, robots, attaques
diverses et variées, etc trucs auquels je ne pense pas car assez novice)
en bref, quelles sont les faiblesses d'une protection via un htaccess?

merci d'avance pour vos idées et vos remarques éventuelles avant de
mettre en place :-)





Bonjour

Seule possibilité : Se faire "sniffer" le mot de passe puisque
celui-ci circule en clair sur le réseau ainsi que le login.

En fait, j'ai un lapsus : Je ne me souviens plus du nom du protocole
web sécurisé ( = crypté sur le réseau ) permettant des authentifications
vraiment sécurisées.

lsh, rsh... Je confond avec un autre terme, qui désigne précisément (
pour rsh ) une ancienne commande Unix ( remote shell ), qui d'ailleurs
n'était pas du tout sécurisée à l'époque révolue où elle était utilisée. ;)

Ce serait pas ssl le protocole sécurisé ? Mmmhhh... A voir...

C'est vrai que je ne connais rien à l'implémentation de ssl, ce qui
explique le lapsus... Quand on sait pas on sait pas. ;)

D'autres que moi pourront vous renseigner.

Bien à vous.

Amicalement.

Jean-François Ortolo

--
Visitez mon site gratuit donnant des Statistiques,
des Pronostics et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.pronostics-courses.fr
Tr
Le #22973931
*Ecrit* *par* *Jean-Francois Ortolo*:
Le 31/12/2010 09:15, a écrit :
Bonjour à tous,

j'ai envie d'utiliser une partie d'un espace web pour stocker des
fichiers sensibles.

je protège cet espace avec un .htaccess qui exige un seul
utilisateur et
un mot de passe complexe.

que vaut cette protection au bout du compte, quels sont les risques
de
se faire hacker cet hébergement (aspirateurs de site, robots,
attaques
diverses et variées, etc trucs auquels je ne pense pas car assez
novice)
en bref, quelles sont les faiblesses d'une protection via un
htaccess?

merci d'avance pour vos idées et vos remarques éventuelles avant de
mettre en place :-)





Bonjour

Seule possibilité : Se faire "sniffer" le mot de passe puisque
celui-ci circule en clair sur le réseau ainsi que le login.



ok, c'est bien si c'est le seul gros risque.
j'imaginais quelqu'un envoyant via un script quelconque des tentatives
nombreuses pour craquer le pass via bruteforce par exemple, mais ça
semble peu probable si on ne connait pas déjà l'utilisateur par
exemple.
autre chose que j'imaginais, quelqu'un qui arrive à pirater le serveur
hébergeant mes infos (c'est un serveur mutualisé de chez ovh, je
suppose que la sécu doit être blindée, et le piratage d'un compte mutu
ne doit pas permettre de passer sur un autre compte enfin j'espère)

En fait, j'ai un lapsus : Je ne me souviens plus du nom du
protocole web sécurisé ( = crypté sur le réseau ) permettant des
authentifications vraiment sécurisées.



je pense que tu veux parler d'une connexion en https dans ce cas
précis.
mon hébergement ne me permet pas ça, c'est dommage d'ailleurs...

ok pour le rste et merci, peut-être d'autres se manifesteront au cas où
j'ai dit une bêtise.

--
On est ce qu'on fait, pas ce qu'on pense ni dit. (Réflexion)

Jean-Francois Ortolo
Le #22974001
Le 31/12/2010 11:41, a écrit :

ok, c'est bien si c'est le seul gros risque.
j'imaginais quelqu'un envoyant via un script quelconque des tentatives
nombreuses pour craquer le pass via bruteforce par exemple, mais ça
semble peu probable si on ne connait pas déjà l'utilisateur par exemple.
autre chose que j'imaginais, quelqu'un qui arrive à pirater le serveur
hébergeant mes infos (c'est un serveur mutualisé de chez ovh, je suppose
que la sécu doit être blindée, et le piratage d'un compte mutu ne doit
pas permettre de passer sur un autre compte enfin j'espère)





Bonjour Monsieur

Bof, vous savez, les attaques type bruteforce, sont précisément
destinées aux mots de passe peu complexes et faciles à deviner.

A priori, si vous cherchez la sécurité, vous n'allez pas choisir de
tels mots de passe. ;)

Et puis, pour tester un compte comme celà, encore faut-il déjà avoir
le login.

En ce qui concerne les tentatives répétées et rapides de connexion à
partir d'une seule adresse ip, je suppose ( bien que je n'en connaisse
pas, mon ignorance est impardonnable. ;) ) qu'il existe des moyens de
protection, et même di'dentification de l'adresse ip en cause, mais là
je suppose qu'il faudrait faire du développement quel que soit le
langage, pour bloquer et logguer les connexions en cause.

A moins que de telles fonctionnalités existent déjà.

Et puis, vous pouvez toujours examiner les logs de votre serveur...
Mais là, ce n'est pas du direct ou automatique.

Bien à vous.

Amicalement.

Jean-François Ortolo

--
Visitez mon site gratuit donnant des Statistiques,
des Pronostics et des Historiques Graphiques
sur les Courses de Chevaux:
http://www.pronostics-courses.fr
Steph. K
Le #22973991
Le 31/12/2010 11:41, a écrit :

ok pour le rste et merci, peut-être d'autres se manifesteront au cas où
j'ai dit une bêtise.



Ca dépend de ce que tu appelles "fichiers sensibles", si c'est les codes
d'accès à fort Knox un htaccess est insuffisant si c'est le mot de passe
de ta base de données cela suffit.
Tu peux aussi crypter tes fichiers avec un mot de passe différent de
celui de ton htaccess.

--
Steph. K
Tr
Le #22974211
*Ecrit* *par* *Steph. K*:
Le 31/12/2010 11:41, a écrit :

ok pour le rste et merci, peut-être d'autres se manifesteront au
cas où
j'ai dit une bêtise.



Ca dépend de ce que tu appelles "fichiers sensibles", si c'est les
codes d'accès à fort Knox un htaccess est insuffisant si c'est le mot



oui, ça pourrait être des trucs comme ça, des codes d'accès à des
comptes entre autres...

de passe de ta base de données cela suffit.
Tu peux aussi crypter tes fichiers avec un mot de passe différent de
celui de ton htaccess.



je veux pouvoir accéder à ces fichiers de n'importe où, les modifier,
etc...

--
Faire de la politique, c'est permettre aux autres de choisir en toute
connaissance de cause. (Réflexion)

Steph. K
Le #22974621
Le 31/12/2010 12:58, a écrit :

je veux pouvoir accéder à ces fichiers de n'importe où, les modifier,
etc...



Une clé usb avec des fichiers cryptés me semble plus universel.
Framakey + FreeOTFE devraient faire l'affaire, en plus tu es en principe
assuré de ne pas laisser de traces sur l'ordinateur hôte.


--
Steph. K
Tr
Le #22974861
*Ecrit* *par* *Steph. K*:
Le 31/12/2010 12:58, a écrit :

je veux pouvoir accéder à ces fichiers de n'importe où, les
modifier,
etc...



Une clé usb avec des fichiers cryptés me semble plus universel.
Framakey + FreeOTFE devraient faire l'affaire, en plus tu es en
principe assuré de ne pas laisser de traces sur l'ordinateur hôte.



le prob c'est que j'ai tendance à oublier cette clé sur les pc des
autres :-)
c'est pourquoi je cherchais une autre solution...

--
C'est tellement facile de détruire! Et c'est si difficile de
contruire... (Réflexion)

Steph. K
Le #22975041
Le 31/12/2010 15:05, a écrit :

le prob c'est que j'ai tendance à oublier cette clé sur les pc des
autres :-)
c'est pourquoi je cherchais une autre solution...



Alors htaccess + fichiers protégés (zip avec mot de passe, doc avec mot
de passe etc).
Les navigateurs ont la mauvaise habitude de conserver trop de choses en
mémoire, sans parler des saloperies que le pc peut héberger à l'insu de
son plein gré. C'est pour cela qu'il te faut impérativement une
protection supplémentaire.


--
Steph. K
Tr
Le #22976901
*Ecrit* *par* *Steph. K*:
Le 31/12/2010 15:05, a écrit :

le prob c'est que j'ai tendance à oublier cette clé sur les pc des
autres :-)
c'est pourquoi je cherchais une autre solution...



Alors htaccess + fichiers protégés (zip avec mot de passe, doc avec
mot de passe etc).
Les navigateurs ont la mauvaise habitude de conserver trop de choses
en mémoire, sans parler des saloperies que le pc peut héberger à
l'insu de son plein gré. C'est pour cela qu'il te faut impérativement
une protection supplémentaire.



ok, je vais réfléchir, merci :-)

--
Haro sur la langue de bois! (Politique)

B.M.
Le #22980001
Le 01/01/2011 11:40, a écrit :
*Ecrit* *par* *Steph. K*:
Le 31/12/2010 15:05, a écrit :



le prob c'est que j'ai tendance à oublier cette clé sur les pc des
autres :-)
c'est pourquoi je cherchais une autre solution...





Alors htaccess + fichiers protégés (zip avec mot de passe, doc avec
mot de passe etc).
Les navigateurs ont la mauvaise habitude de conserver trop de choses
en mémoire, sans parler des saloperies que le pc peut héberger à
l'insu de son plein gré. C'est pour cela qu'il te faut impérativement
une protection supplémentaire.



ok, je vais réfléchir, merci :-)




Ne pas oublier que même protégé par htaccess ton fichier reste
accessible par les techniciens de ton hébergeur.
--
B. M.
Publicité
Poster une réponse
Anonyme