HTTPS et .htaccess [Résolu] - Sécurité - Windows & Software
Marsh Posté le 04-11-2008 à 23:41:14
http://www.siteduzero.com/tutoriel [...] passe.html
En PHP et donc invisible
Marsh Posté le 05-11-2008 à 13:26:29
si c pas chiffré en https, tout passe en clair (contenu des pages et mdp)
Marsh Posté le 05-11-2008 à 18:46:20
C'est ce que je pensais... Même derrière un .htaccess alors ? Chié...
Bon tant pis, merci pour vos réponses !
Marsh Posté le 05-11-2008 à 19:22:27
Ah faudrait savoir
C'était le but de ma question : je ne peux pas mettre mon site en https, est-ce qu'un htaccess est visible ou pas ? De même que le mot de passe du htpasswd ? Est-ce qu'on ne voit que l'url et rien d'autre, ou on voit ce qui transite ?
Marsh Posté le 05-11-2008 à 19:26:19
on ne voit que l'URL, htaccess est totalement transparent du client.
Dans un htpassw le mot de passe est crypté (avec l'alog Unix DES il me semble).
Le seule exploit possible dans le cas d'une demande d'authentification avec Htaccess / Htpassw est celui de la faille include (via PHP).
Marsh Posté le 05-11-2008 à 19:51:30
Non le contenu est en clair.
Le mot de passe qui passe en authentification HTTP Basic est du simple base64 du login:mdp
Après le mdp que tu met dans le htpasswd est caché mais ça c'est si tu ouvres le fichier htpasswd, chose que tu fais jamais.
Si tu prends un flux HTTP avec authentification basic (que tu fais avec ton .htaccess) tu as :
- la requête en clair (en têtes et contenu)
- la réponse en clair (en têtes et contenu)
- le login:passwd en base64 (c'est à dire que c'est juste codé pour pouvoir transiter sans pb, mais c'est pas du chiffrage, tu tapes bas64 sous google et tu "décodes" en rien de temps)
Donc si tu te mets au milieu (proxy, passerelle, sniffer etc.) tu vois tout
Marsh Posté le 05-11-2008 à 19:54:09
le pwd est transmis au client ??
Moi j'ai jamais vu un htpassw codé en base64 (je connais cet algo de cryptage) mais toujours hashé
Marsh Posté le 05-11-2008 à 19:55:07
C'est compliqué
Je ne pige pas si les pages vues APRES l'authentification, toujours sur du http donc) sont en clair ou pas ?
Marsh Posté le 05-11-2008 à 19:57:37
Tu transmets jamais le htpasswd.
Mais le client qd il s'authentifie sur le serveur, il envoie son mdp en base64, il est débase64isé par le serveur et hashé pour être comparé avec le contenu du htpasswd.
Essaie, fais un rep avec un htaccess/htpasswd, lance un wireshark sur ton client ou serveur (ou au milieu), va sur le site, entre ton login/mdp, tu auras le Authorization: Basic trucbase64==
Faire un décode du base64 et tu auras login:mdp
Marsh Posté le 04-11-2008 à 21:01:15
Bonjour,
Au boulot le net est filtré et très surveillé. A défaut d'avoir le temps de passer mon site sur https, je voudrais savoir si un htaccess avec identification peut être "surveillable", c-a-d si on peut voir le contenu du site ? Et si on peut aussi voir mon mdp : passe-t-il en clair ou pas ? Il n'y a rien d'interdit dans le contenu, seulement je veux juste éviter que tout soit vu par le service info, mais je ne sais pas si le .htaccess peut remplacer le https... Merci pour vos réponses !
Message édité par superjarodd le 05-11-2008 à 18:46:36