Protection par .htaccess

Bonjour,
Désolé pour ce retard. Sans vouloir jouer le paranoïaque de service ou le fayot d'un autre service, je me permets de participer avec cette question :
Pourquoi ne pas utiliser votre outil de chiffrement des mots de passe pour la sécurité apache avec le protocole https ?
A+
Djos

Finalement c'est possible, c'était mon problème au moment où j'avais écrit mon post.
Utilise la fonction crypt() de php
Et SURTOUT, il ne faut pas oublier de renseigner le paramètre "Salt". Du coup tu obtiens les mêmes résultats que par la page d'ovh

comment peut-on reproduire la commande suivante dans un page php en hébergment mutualisé (60 gp)?

"c:\Program Files\EasyPHP1-7\apache\bin\htpasswd -b -c -m $racine.$fichier_mots_de_passe_cryptés $pseudo $mot_de_passe_a_crypter"

Bonjour,

Si j'ai bien compris:

La sécurité, des fichiers et répertoires, liée à Apache peut se baser sur le principe des droits d'accès (.htaccess pointant vers un second fichier contenant les login/mot de passe crypté ou pas - sur free ils ne sont pas cryptés si j'ai bonne souvenance).

Or, pour générer un mot de passe crypté, on utilise le script perl situé ici : http://www.ovh.com/cgi-bin/crypt.pl. Ce script donne le même résultat que la commande :

"c:\Program Files\EasyPHP1-7\apache\bin\htpasswd -b -c -m $racine.$fichier_mot_de_passe $login $mot_de_passe". si j'ai bien compris.

Alors la question est : comment faire lorsqu'on est en mutualisé 60gp et que dans un page php l'on veut crypter ses mots de passe pour les mettre à jour de façon automatique?

Merci!

Denis

Non car /cgi-bin n'est pas accessible directement (contrairement à /www)
Uniquement depuis un script du serveur lui même.

Bonjour, moi aussi anciennement chez free,

j'avais compris qu'il fallait mettre un .htaccesss dans le répertoire ou l'on met le .htpasswd pour le protéger,

doit-on alors en mettre un dans le cgi-bin ou ce répertoire est-il de par lui même protégé?

Pour mettre toutes les chances son côté en termes de sécurité, il ne faut pas mettre le .htpasswd dans le répertoire www comme l'a dit L.Boggio, mais il est également possible (et c'est recommandé) de changer le nom du .htpasswd. Ce qui pourrait donner en reprenant l'exemple de L.Boggio et en changeant le nom en : .lepassword

/home/zepixel/cgi-bin/.lepassword

Voilou, une chance supplémentaire de ne pas se faire pourrir la vie

tiens je n etais pas au courant pr cette histoire de .htpsswd !

il faudrait qu ovh le signale dans leur guide, non ?

ok ça fonctionne.
C'était juste un exemple pour le répertoire, pour que ma question soit claire.
Mais je l'ai mis dans un répertoire avec un nom à la noix et avec un .htaccess contenant "deny from all"

Il ya 2 problèmes avec le cryptage du password obligatoire:
- impossible de les générer à la volée
- il arrive qu'il y ait des "/" dans le résultat crypté et du coup on ne peut pas les passer dans une url genre
http://loginwd@www.zepixel.com/RepertoireSecurise/index.php

Y'a pas un moyen d'enlever le cryptage automatique ????

1) Il est déconseillé de mettre le .htpasswd dans l'espace dépendant de www, mets-le plutot dans cgi-bin, ce qui fait pour le .htaccess :
/home/zepixel/cgi-bin/.htpasswd
2) Pour crypter ton mot de passe : http://www.ovh.com/cgi-bin/crypt.pl
Pour la clé, tu mets ce que tu veux, tu la retrouveras dans les 2 premiers caractères du mot de passe obtenu
exemple :
mot de passe : motpasse
clé : az
Tu obtiens
azZ0sKD/wtSTU

et donc, dans le .htpasswd :
monlogin:azZ0sKD/wtSTU

procedure exacte :

http://guides.ovh.net/HtaccessProtection/

je ne m'y connais pas bien, mais peut etre est ce la maniere dont tu as crypte le pass ? as tu utilise le soft d ovh ?

oui j'obtiens mauvais password (ou loggin)
J'ai l'impression que le chemin du .htpasswd dans le .htaccess n'est pas le bon
Je vais refaire des essais...
Il faut donc bien mettre le mot home dans le chemin du fichier?
Merci en tous cas.

C'est bizarre ce cryptage obligatoire... Je connais des sites qui ne pourrais pas être hébergés chez OVH, puisqu'ils alimentent en live les .htpsswd
Comme le pwd est crypté, pas moyen de le faire à la volée....

Question 1 : la 2eme version est la bonne (..www/.htpasswd)

Question 2 : Oui cryptage obligatoire, OVH met a disponition un outil de cryptage gratuit sur leur site

Je ne pense pas pour la derniere question, mais je ne suis pas sur.

Quand tu dis que tu n'arrives pas a te connecter a ton rep, tu obtiens quelle erreur ? mauvais passwd ou autre chose ?

Salut
J'était chez free avant, et ça marchait plutôt pas mal, ici je n'arrive pas à faire marcher la protection d'un répertoire par .htaccess
Voila ce qu'il y a dans la doc:
3 questions.
1.
Si je veux mettre mon .htpasswd à la racine de mon site (c'est juste un exemple), c'est à dire dans le répertoire www
Est ce que je met "exactement" cette ligne dans le .htaccess ? (mon site est www.zepixel.com)
ou le home désigne t-il autre chose?
Ne faut-il pas plutôt mettre 2.
les mot de passe du .htpasswd doivent-ils être obligatoirement crypté?
3.
peut-on changer le nom du fichier .htpasswd ?

Mon problème est que je ne sais pas d'où vient le fait que je n'arrive pas à me connecter à mon répertoire "protégé"...
Merci pour vos réponses.