Erreur Apache à éviter

POSTÉ Informatique | TAGS : , , , , , 5 février 2013

Attention à votre fichier .htaccess lorsque vous voulez intégrer une authentification pour sécuriser un répertoire de votre serveur web !

 
Pour obliger l’authentification lors de l’accès à un répertoire de votre site web, tel que votre BackOffice, une bonne méthode consiste à utiliser la directive Apache « require user » via un fichier htaccess.

Sur internet, on trouve énormément de tutoriels expliquant comment faire.

Pour la plupart on vous fournira ce type de code :

La faille est directement dans la méthode employée : on voit clairement qu’on limite cette sécurité au type de requête GET et POST.
Donc si une requête d’un autre type essaie d’accéder à ce répertoire, cela aurait pour conséquence de contourner l’authentification, avoir accès à votre répertoire protégé, lire le contenu de votre .htaccess et de votre .htpasswd ! (qui contient le mot de passe)

Donc cette sécurité n’en serai finalement pas une !

Pour contrer cette énorme faille il suffit de supprimer les Limit.
Ainsi, tout type de requête sera concerné par cette sécurité à base d’authentification.

L’autre notion consiste à mettre le fichier .htpasswd (et pourquoi pas l’appeler différemment par la même occasion) à un emplacement non accessible sur internet ; donc en dehors de votre racine web.

Un exemple de fichier .htaccess non vulnérable :

Encore beaucoup de webmasters ne sont pas sensibilisés, et pourraient ainsi compromettre la sécurité d’une partie de leur hébergement.

Loading