> euh, en quoi cela pose-t-il un pbm ? même si le navigateur croit qu'il
> s'agit du même couple user/mot de passe, le serveur lui sait très bien
ce
> qu'il en est... donc, soit c'est le même user qui est authorisé, et pas
de
> problème, soit c'est un user différent et le navigateur recevra un
403... Et
> donc redemandera le mot de passe... non ?
Oui, techniquement cela revient au même, puisqu'au final,
l'utilisateur
devra taper son mot de passe pour accéder au contenu sécurisé.
Mais utiliser des "AuthName" différents permet:
- d'economiser un aller-retour de connexion HTTP: ca fera ca de bande
passante
libéré :=)
- d'éviter de faire passer en clair le 1er mot de passe. Il s'agit quand
même
d'un mot de passe, moins il circule sur le réseau, mieux c'est (voir
Exemple1).
- d'éviter pour l'utilisateur, un "comportement etrange" du navigateur
(voir
Exemple2)
Exemple1:
- Le site www.toto.com a 2 repertoires, "folder1" et "folder2", protégés
par des mots de passe différents (ie: stockés dans des fichiers
différents),
mais ayant le même "AuthName"
- Un utilisateur visite le site www.toto.com/folder1 à 8h00, puis
il
n'utilise plus ce site.
- A 10h, un "vilain pirate" installe un sniffer de trames sur le
réseau
- A 12h, le même utilisateur, qui entre temps n'a pas fermé son
navigateur,
visite www.toto.com/folder2. Son navigateur envoie sur le site le mot de
passe
de "folder1", qui est refusé par le serveur. Le navigateur demande alors à
l'utilisateur son mot de passe, qui sera lui aussi envoyé sur le réseau.
Conclusion:
- Le "vilain pirate" a donc récupéré les 2 mots de passe, dont un qu'il
n'aurait jamais du avoir, car il a mit en place son sniffer réseau trop
tard
- Oui mais, avec du https .... ? Certes, ca compliquera la vie du
"vilain pirate", mais la n'était pas la question.
Exemple2:
- Toujours le même site web que plus haut
- Au jour J=1, l'utilisateur utilise le même mot de passe pour se
connecter
à "folder1" et "folder2". Une fois qu'il a visité "folder1", il peut aussi
visiter
"folder2", sans donner son mot de passe (puisque "AuthName" est le même
sur les
deux répertoires, et que les deux mots de passe sont identiques)
- Au jour J=2, l'utilisateur change son mot de passe dans
"folder1". Comme
les mots de passe de "folder1" et "folder2" sont stockés à part, ce
changement
de mot de passe n'intervient pas sur "folder2"
Conclusion:
- Maintenant lorsque l'utilsateur va visiter "folder2", il devra donner
son mot de passe pour "folder2". Or, ce n'est pas ce dont il avait
l'habitude
avant qu'il change son mot de passe. D'où, pour lui, un "comportement
étrange du
navigateur" ... De la à dire "la sécurité sur Internet, c'est rès
bizarre", il n'y
a qu'un pas ... :=)
C'est pourquoi je pense que pour des répertoires protégés par des
".htaccess"
différents, il vaut mieux utiliser des "AuhtName" différents. Ca évites
des problèmes
ou des remarques potentiels ...
Olivier
