J'utilise les sessions de PHP pour sécuriser mes pages. Ca marche
parfaitement bien. L'accès aux pages necessite une authentification au
préalable.
Par contre, les documents qui sont proposés aux membres depuis les
pages sécurisées par mes sessions ne sont pas sécurisés par PHP
puisqu'ils
résident sur le serveur et demeurent accessibles directement via
l'url.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer
deux
systèmes en parallele (c'est pas propre et on est obligé de se loguer
plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un
peut-il m'aider ?
Si jamais c'est pas clair, supposez que le document en question soit
une image qui ne doit etre visible que en mode sécurisé ( avec les
sessions idéalement). Il ne faut pas que cette image puisse etre
accessible via http://www.monsite.com/blabla/image.jpg )
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
VAUTHIER Christophe
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de crér une page PHP qui verifie si une session existe, si c'est le cas on laisse le script tourner, sinon on affiche une erreur (par exemple) et on fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire un include de cette page de verif dans toutes tes pages ki doivent etre securisées, et donc si aucune session n'est créée, au moment de la generation du code HTML par le serveur Web, tu n'aura qu'un message d'erreur en HTML.
++
"Adrieno" a écrit dans le message de news:
Bonjour à tous,
J'utilise les sessions de PHP pour sécuriser mes pages. Ca marche parfaitement bien. L'accès aux pages necessite une authentification au préalable.
Par contre, les documents qui sont proposés aux membres depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils résident sur le serveur et demeurent accessibles directement via l'url.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer deux systèmes en parallele (c'est pas propre et on est obligé de se loguer plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un peut-il m'aider ?
Si jamais c'est pas clair, supposez que le document en question soit une image qui ne doit etre visible que en mode sécurisé ( avec les sessions idéalement). Il ne faut pas que cette image puisse etre accessible via http://www.monsite.com/blabla/image.jpg )
Voila . MERCI D AVANCE POUR VOS SUGGESTIONS
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de
crér une page PHP qui verifie si une session existe, si c'est le cas on
laisse le script tourner, sinon on affiche une erreur (par exemple) et on
fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire un
include de cette page de verif dans toutes tes pages ki doivent etre
securisées, et donc si aucune session n'est créée, au moment de la
generation du code HTML par le serveur Web, tu n'aura qu'un message d'erreur
en HTML.
++
"Adrieno" <adrien.dain@gmail.com> a écrit dans le message de news:
1115744431.750083.36150@o13g2000cwo.googlegroups.com...
Bonjour à tous,
J'utilise les sessions de PHP pour sécuriser mes pages. Ca marche
parfaitement bien. L'accès aux pages necessite une authentification au
préalable.
Par contre, les documents qui sont proposés aux membres depuis les
pages sécurisées par mes sessions ne sont pas sécurisés par PHP
puisqu'ils
résident sur le serveur et demeurent accessibles directement via
l'url.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer
deux
systèmes en parallele (c'est pas propre et on est obligé de se loguer
plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un
peut-il m'aider ?
Si jamais c'est pas clair, supposez que le document en question soit
une image qui ne doit etre visible que en mode sécurisé ( avec les
sessions idéalement). Il ne faut pas que cette image puisse etre
accessible via http://www.monsite.com/blabla/image.jpg )
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de crér une page PHP qui verifie si une session existe, si c'est le cas on laisse le script tourner, sinon on affiche une erreur (par exemple) et on fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire un include de cette page de verif dans toutes tes pages ki doivent etre securisées, et donc si aucune session n'est créée, au moment de la generation du code HTML par le serveur Web, tu n'aura qu'un message d'erreur en HTML.
++
"Adrieno" a écrit dans le message de news:
Bonjour à tous,
J'utilise les sessions de PHP pour sécuriser mes pages. Ca marche parfaitement bien. L'accès aux pages necessite une authentification au préalable.
Par contre, les documents qui sont proposés aux membres depuis les pages sécurisées par mes sessions ne sont pas sécurisés par PHP puisqu'ils résident sur le serveur et demeurent accessibles directement via l'url.
Comment y remédier ?
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer deux systèmes en parallele (c'est pas propre et on est obligé de se loguer plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un peut-il m'aider ?
Si jamais c'est pas clair, supposez que le document en question soit une image qui ne doit etre visible que en mode sécurisé ( avec les sessions idéalement). Il ne faut pas que cette image puisse etre accessible via http://www.monsite.com/blabla/image.jpg )
Voila . MERCI D AVANCE POUR VOS SUGGESTIONS
(¯`·..Yttrium ...·´¯)
"VAUTHIER Christophe" a écrit dans le message de news: 4281e386$0$25030$
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de crér une page PHP qui verifie si une session existe, si c'est le cas on laisse le script tourner, sinon on affiche une erreur (par exemple) et on fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire un
include de cette page de verif dans toutes tes pages ki doivent etre securisées, et donc si aucune session n'est créée, au moment de la generation du code HTML par le serveur Web, tu n'aura qu'un message d'erreur
en HTML.
Bjr,
Sauf que le monsieur parle de l'appel direct d'une image par exemple Et dans ce cas là, pas de php,pas de session, ni rien du tout.. Accès direct au repertoire, sans page HTML Et du coup, tu ne réponds pas du tout à sa question...
Salutations.
"VAUTHIER Christophe" <crashbronx@wanadoo.fr> a écrit dans le message de
news: 4281e386$0$25030$8fcfb975@news.wanadoo.fr...
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de
crér une page PHP qui verifie si une session existe, si c'est le cas on
laisse le script tourner, sinon on affiche une erreur (par exemple) et on
fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire
un
include de cette page de verif dans toutes tes pages ki doivent etre
securisées, et donc si aucune session n'est créée, au moment de la
generation du code HTML par le serveur Web, tu n'aura qu'un message
d'erreur
en HTML.
Bjr,
Sauf que le monsieur parle de l'appel direct d'une image par exemple
Et dans ce cas là, pas de php,pas de session, ni rien du tout..
Accès direct au repertoire, sans page HTML
Et du coup, tu ne réponds pas du tout à sa question...
"VAUTHIER Christophe" a écrit dans le message de news: 4281e386$0$25030$
J'avais utilisé ce système pour plusieurs sites webs. Le principe est de crér une page PHP qui verifie si une session existe, si c'est le cas on laisse le script tourner, sinon on affiche une erreur (par exemple) et on fait un exit ou end je sais plus exactement. Ainsi il te suffit de faire un
include de cette page de verif dans toutes tes pages ki doivent etre securisées, et donc si aucune session n'est créée, au moment de la generation du code HTML par le serveur Web, tu n'aura qu'un message d'erreur
en HTML.
Bjr,
Sauf que le monsieur parle de l'appel direct d'une image par exemple Et dans ce cas là, pas de php,pas de session, ni rien du tout.. Accès direct au repertoire, sans page HTML Et du coup, tu ne réponds pas du tout à sa question...
Salutations.
Adrieno
ok pour les pages php. Effectivement y'a pas de soucis en suivant la méthode dont tu parles.
La grosse faille est le suivante :
Je m'inscrit, je m'authentifie, j'accede à la page web mere de l'image jpg.
Une fois que c'est fait j'edite cette page web je recupere le nom de l'image et je le tapes directement en url ( en le precedant du www.monsite.com/secure/)
ok pour les pages php. Effectivement y'a pas de soucis en suivant la
méthode dont tu parles.
La grosse faille est le suivante :
Je m'inscrit, je m'authentifie, j'accede à la page web mere de l'image
jpg.
Une fois que c'est fait j'edite cette page web je recupere le nom de
l'image et je le tapes directement en url ( en le precedant du
www.monsite.com/secure/)
ok pour les pages php. Effectivement y'a pas de soucis en suivant la méthode dont tu parles.
La grosse faille est le suivante :
Je m'inscrit, je m'authentifie, j'accede à la page web mere de l'image jpg.
Une fois que c'est fait j'edite cette page web je recupere le nom de l'image et je le tapes directement en url ( en le precedant du www.monsite.com/secure/)
Stephane Pineau
Le 10 May 2005 22:37:14 GMT, "Adrieno" écrivait:
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer deux systèmes en parallele (c'est pas propre et on est obligé de se loguer plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un peut-il m'aider ?
Pas forcement, ton .htaccess peut être utilisé autrement que pour une authentification.
Tu peux très bien mettre un .htaccess dans les dossiers contenant tes documents avec un deny all excepté si le referer est ton site... ca devrait faire l'affaire je pense. (gaffe seulement à ne pas mettre ce .htaccess sur le root de ton serveur :-)
Le 10 May 2005 22:37:14 GMT, "Adrieno" <adrien.dain@gmail.com> écrivait:
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer
deux
systèmes en parallele (c'est pas propre et on est obligé de se loguer
plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un
peut-il m'aider ?
Pas forcement, ton .htaccess peut être utilisé autrement que pour une
authentification.
Tu peux très bien mettre un .htaccess dans les dossiers contenant tes
documents avec un deny all excepté si le referer est ton site... ca devrait
faire l'affaire je pense. (gaffe seulement à ne pas mettre ce .htaccess sur
le root de ton serveur :-)
J'ai bien pensé à la solution .htaccess...mais cela me fait gérer deux systèmes en parallele (c'est pas propre et on est obligé de se loguer plusieurs fois (une pour les sessions, une pour le htaccess) quelqu'un peut-il m'aider ?
Pas forcement, ton .htaccess peut être utilisé autrement que pour une authentification.
Tu peux très bien mettre un .htaccess dans les dossiers contenant tes documents avec un deny all excepté si le referer est ton site... ca devrait faire l'affaire je pense. (gaffe seulement à ne pas mettre ce .htaccess sur le root de ton serveur :-)