problème avec .htaccess sur Free

[Wullfk]

il faut mettre le fichier .htaccess dans le répertoire à protéger

/admin

/blog

/images

 

si tu veux filtrer l'accès à /admin, il faut placer un .htaccess dans ce répertoire

 

la liste des user/password (le fichier .htpasswd ou tout autre fichier) doit être placé dans un répertoire autre dont le chemin absolu sera indiqué dans le fichier .htaccess du répertoire à protéger

 

Si tu places un .htaccess à la racine de ton site avec un require valid-user, cela va s'appliquer à tous les répertoires fils (puisque'il faut passer par le père d'abord)

 

Free ne gère pas les fichiers htpasswd encrypté, si mes souvenirs sont bons, il faut une liste avec les couples login/passwd en clair

 

 

ben à la base, c'est la racine que je souhaite protéger sans pour autant empécher l'acces au blog DotClear.

depuis au moins 2 heures je travail sur le .htaccess en essayant plusieurs possibilité.

 

la version actuel qui fonctionne est la suivante:

 

php 1
<Files .htaccess>
order deny,allow
deny from all
</Files>
ErrorDocument 403/errors/err404.php

 

malheureusement pour moi, elle est loin d'être parfaite puisque on peut toujours acceder à la racine, par contre le .htaccess n'est plus visible, c'est déja ça de gagné

 

chez Free il n'y a pas de .htpasswd c'est justement le fichier liste.txt qui le remplace.

 

par ailleur je vois plus trop à quoi peut bien servir le fichier pathinfo.php dans l'état actuel, puisque ce dernier me retourne une erreur 500. je peux le supprimer?

Modifié le 16 mars 2008 par Wullfk

[Greywolf]

autant pour moi, ce n'est pas pathinfo() mais realpath() qu'il faut utiliser

 

echo realpath('index.php');

 

tu veux filtrer l'accès à la racine mais laisser un sous-répertoire accessible à tous?

Qu'y a-t-il à la racine? une simple désactivation de l'indexation du répertoire ne suffit pas (Options -Indexes ) ?

[Wullfk]

bon, OK je viens de supprimer pathinfo.php, et de mettre realpath.php, là l'affichage m'indique bien le chemin selon quel fichier j'ai mis entre parenthèse.

 

ba à la racine il y a tout le répertoire de DotClear (dc2) et le reste n'est utile que pour moi, du genre un dossier (errors) dans lequel je mais mes codes erreurs personnalisés.

c'est plus dans l'optique de sécuriser la racine, sans pour autant gêner l'accès au blog.

 

la désactivation de l'indexation du répertoire? je connais pas, et je sais pas faire. mais disons que cela aurait l'air de correspondre à ce que je recherche.

 

je suis à ton écoute.

[Wullfk]

bon voici la suite de mon aventure,

 

il faut mettre le fichier .htaccess dans le répertoire à protéger

/admin

/blog

/images

 

si tu veux filtrer l'accès à /admin, il faut placer un .htaccess dans ce répertoire

 

la liste des user/password (le fichier .htpasswd ou tout autre fichier) doit être placé dans un répertoire autre dont le chemin absolu sera indiqué dans le fichier .htaccess du répertoire à protéger

 

j'ai donc réaliser un .htaccess dans le repertoire (ou dossier ) admin qui est la racine

 

voila ce qu'il contient:

<Files .htaccess>
order deny,allow
deny from all
</Files>
php 1
PerlSetVar AuthFile admin/prive/liste.txt
AuthName "Acces Restreint"
AuthType Basic
require valid-user

 

résultat si j'essai d'acceder à admin j'obtient la fenêtre pour entrer le login et le password, jusque là c'est normal, mais il faut que je saisisse 3 fois mon password pour finalement obtenir l'erreur 401. là c'est plus vraiment normal.

 

pour ce qui est du .htaccess qui lui se trouve à la racine, j'ai essayer d'appliquer les conseils et les recommandations expliqué ICI c'est d'ailleur un site très intéréssant à lire.

malheureusement pour moi, y a pas grand chose qui fonctionne.

par exemple, je n'ai pas de ligne _SERVER["PATH_TRANSLATED"] après avoir creer et utiliser le fichier path.php

ensuite si je veux interdire une liste d'aspirateur indésirable, et bien là non plus cela fonctionne pas, dans la majorité des cas (pour ne pas dire total) j'obtiens l'erreur 500, la question que je me pose c'est comment faire pour eviter cette erreur, et est ce que cela ne vient pas tous simplement de Free.

 

bref voila ou j'en suis, c'est pas glorifiant n'est ce pas

[Greywolf]

à la racine de ton site, tu crées un .htaccess avec dedans:

Options -Indexes

 

ainsi l'accès à la racine via http (en remontant l'arborescence des répertoires) ne sera pas possible (sauf si tu as un fichier index.html|php|htm dedans)

 

dans le répertoire admin, tu crées un .htaccess

PerlSetVar AuthFile admin/prive/liste.txt
AuthName "Acces Restreint"
AuthType Basic
require valid-user

 

tu changes le chemin relatif admin/prive/liste.txt par le chemin absolu vers le fichier liste.txt

 

d'ailleurs, il est préférable de mettre cette liste dans un répertoire tout autre, caché, avec un nom débile si possible

un fichier .htaccess dans ce répertoire en empêchera l'accès

deny from all

[Wullfk]

à la racine de ton site, tu crées un .htaccess avec dedans:

 

Code

Options -Indexes

 

 

ainsi l'accès à la racine via http (en remontant l'arborescence des répertoires) ne sera pas possible (sauf si tu as un fichier index.html|php|htm dedans)

 

ben oui j'ai un fichier index.php, c'est celui qui communique directement avec DotClear

 

tu changes le chemin relatif admin/prive/liste.txt par le chemin absolu vers le fichier liste.txt

 

sur ce point là j'ai franchement du mal à accrocher , c'est quoi ce fameux chemin absolu? comment je peux le connaître? et quelle différence avec le chemin relatif?

 

d'ailleurs, il est préférable de mettre cette liste dans un répertoire tout autre, caché, avec un nom débile si possible

quel genre de repertoire?

 

un fichier .htaccess dans ce répertoire en empêchera l'accès

 

Code

deny from all

 

Sa c'est déja fait.

 

Merci encore pour toutes cette précieuse assistance , car à ce niveau là c'est plus de l'aide.

 

[Greywolf]

soit un fichier realpath.php à la racine du site contenant

<?php
echo realpath('admin/prive/liste.txt');
?>

 

le chargement du fichier realpath.php dans un navigateur web affichera le chemin absolu vers le fichier liste.txt (i.e. depuis la racine du système de fichiers et non depuis la racine de ton hébergement web)

 

Pour l'accès à la racine du site, tu dis qu'il y a un fichier index.php permettant (entre autres probablement) à accéder à Dotclear. Quel est ton besoin de protection de la racine? que personne ne puisse charger index.php ???

 

Pour le répertoire contenant la liste des mots de passe, voici un exemple d'arborescence de site

/admin

/images

/html

/cgi-bin

/.é#%nkdfo

 

le répertoire /.é#%nkdfo contient un fichier htpasswd (ou liste.txt si tu veux)

 

 

le répertoire /admin peut contenir un fichier .htaccess avec cette directive

AuthUserFile /var/www/.é#%kdfo/htpasswd

 

parce que le chemin absolu vers htpasswd est /var/www/.é"'nkdfo/htpasswd

 

le répertoire /.é#%nkdfo contient un .htaccess contenant Deny from all pour en prévenir tout accès via http

[Wullfk]

pour le fichier index.php, je ne peut pas et doit pas y mettre d'interdiction, puisque c'est par lui que l'on peut accéder au blog.

 

après ce que je comprend pas (je dois être long à la détente) c'est d'une part l'apparition d'un fichier cgi-bin (il sort d'ou celui là????), le html j'en ai pas, et à quoi il sert?

 

Pour essayer de résumer, je constate que pour acceder au blog, il faut absolument qu'il y ait /dc2 dans l'URL si par exemple tu ne met rien, tu accede directement à la racine sur la page index of c'est ça que je souhaite éviter.

 

donc je me pose la question s'il ne faut pas que je créé une page HTML qui elle repointera sur le blog, de ce fait intégré le blog de DotClear dans un template (je crois!).

je sais pas si je suis très clair là.

 

c'est sur que tel que c'est là je peux parfaitement acceder au blog, mais je trouve que cela ne fait pas propre (je suis peut être un peu trop pointilleux).

je sais pas ce que tu en pense?

[Greywolf]

je suis allé voir ton site

 

1. tu n'as pas de fichier index.* à la racine du site

=> tu peux donc parfaitement désactiver l'indexation de la racine http://wullfk.free.fr/ en y plaçant un .htaccess avec Options -Indexes

 

2. tu n'as pas mis les balises de code php <?php .... ?> pour indiquer au serveur d'éxécuter le code contenu dans le fichier realpath.php

 

3. l'arborescence que j'ai citée était un exemple pour illustrer mon propos et ne reflète pas l'architecture de ton site. ton site comporte l'arborescence suivante

admin

dc2

errors

 

tu peux créer un répertoire nommé .cequetuveuxdumomentqueçanepeutpasêtredeviné (répertoire invisible du fait que le premier caractère soit un . )et y placer ton fichier htpasswd (ou liste.txt)

 

modifie la directive Auth UserFile du .htaccess du répertoire admin en conséquence

[Wullfk]

bon je reprend point par point ce que tu m'as dit de faire

 

j'ai désactivé l'indexation de la racine en un .htaccess avec dedans options-indexes > résultat erreur 500

j'ai récrit le fichier realpath.php avec les balises php manquantes > résultat erreur 500 donc pas de chemin absolu

à l'intérieur du dossier admin j'ai crée un répertoire nommé Nikita (anciennement prive) que j'ai transférer sur mon FTP puis modifier pour pouvoir le nommer .Nikita, à l'intérieur de celui ci on retrouve le fameux fichier liste.txt protéger par un .htaccess avec dedans Deny From All, c'est d'ailleurs le seul qui fonctionne puisque cela renvoie naturellement l'utilisateur sur un code erreur 401 (ça c'est OK).

dans le répertoire admin j'ai modifier le .htaccess avec le code suivant : AuthUserFile /var/www/.Nikita/liste.txt > résultat erreur 500

 

pour aller encore plus loin j'ai recrée (une fois de plus) un .htaccess,dans admin avec ce que tu m'avais fournis, a savoir :

PerlSetVar AuthFile admin/.Nikita/liste.txt

AuthName "Acces Restreint"

AuthType Basic

require valid-user

résultat erreur 500

voila ou j'en suis, c'est franchement pas évident. c'est le genre de truc ou faut être sponsoriser par Aspro (pour les prises de tête que cela engendre)

 

petite précision qui peut avoir son importance, sur mon fichier local et même sur le FTP j'ai un fichier bizarre qui se nomme _notes, j'en fait quoi? je le vire? en local il se trouve à la racine, mais n'apparait pas au même endroit, par contre il est présent dans le repertoire .Nikita sur le FTP

 

pour ce soir je fais un break pour aller car je bosse demain matin.

 

je pense être de retour sur le forum , courant de l'après midi

 

Modifié le 17 mars 2008 par dylav
Regroupement de 2 posts successifs