Re: htaccess

Top Page

Reply to this message
Author: Olivier_Allard-Jacquin
Date:  
To: guilde
Subject: Re: htaccess
> euh, en quoi cela pose-t-il un pbm ? même si le navigateur croit qu'il
> s'agit du même couple user/mot de passe, le serveur lui sait très bien

ce
> qu'il en est... donc, soit c'est le même user qui est authorisé, et pas

de
> problème, soit c'est un user différent et le navigateur recevra un

403... Et
> donc redemandera le mot de passe... non ?


        Oui, techniquement cela revient au même, puisqu'au final, 
l'utilisateur
devra taper son mot de passe pour accéder au contenu sécurisé.


        Mais utiliser des "AuthName" différents permet:
- d'economiser un aller-retour de connexion HTTP: ca fera ca de bande 
passante
libéré :=)
- d'éviter de faire passer en clair le 1er mot de passe. Il s'agit quand 
même
d'un mot de passe, moins il circule sur le réseau, mieux c'est (voir 
Exemple1).
- d'éviter pour l'utilisateur, un "comportement etrange" du navigateur 
(voir
Exemple2)




Exemple1:
        - Le site www.toto.com a 2 repertoires, "folder1" et "folder2", protégés
par des mots de passe différents (ie: stockés dans des fichiers 
différents),
mais ayant le même "AuthName"
        - Un utilisateur visite le site www.toto.com/folder1 à 8h00, puis 
il
n'utilise plus ce site.
        - A 10h, un "vilain pirate" installe un sniffer de trames sur le 
réseau
        - A 12h, le même utilisateur, qui entre temps n'a pas fermé son 
navigateur,
visite www.toto.com/folder2. Son navigateur envoie sur le site le mot de 
passe
de "folder1", qui est refusé par le serveur. Le navigateur demande alors à
l'utilisateur son mot de passe, qui sera lui aussi envoyé sur le réseau.


Conclusion:
- Le "vilain pirate" a donc récupéré les 2 mots de passe, dont un qu'il
n'aurait jamais du avoir, car il a mit en place son sniffer réseau trop
tard
- Oui mais, avec du https .... ? Certes, ca compliquera la vie du
"vilain pirate", mais la n'était pas la question.




Exemple2:
        - Toujours le même site web que plus haut
        - Au jour J=1, l'utilisateur utilise le même mot de passe pour se 
connecter
à "folder1" et "folder2". Une fois qu'il a visité "folder1", il peut aussi 
visiter
"folder2", sans donner son mot de passe (puisque "AuthName" est le même 
sur les
deux répertoires, et que les deux mots de passe sont identiques)
        - Au jour J=2, l'utilisateur change son mot de passe dans 
"folder1". Comme
les mots de passe de "folder1" et "folder2" sont stockés à part, ce 
changement
de mot de passe n'intervient pas sur "folder2"


Conclusion:
- Maintenant lorsque l'utilsateur va visiter "folder2", il devra donner
son mot de passe pour "folder2". Or, ce n'est pas ce dont il avait
l'habitude
avant qu'il change son mot de passe. D'où, pour lui, un "comportement
étrange du
navigateur" ... De la à dire "la sécurité sur Internet, c'est rès
bizarre", il n'y
a qu'un pas ... :=)

        C'est pourquoi je pense que pour des répertoires protégés par des 
".htaccess"
différents, il vaut mieux utiliser des "AuhtName" différents. Ca évites 
des problèmes
ou des remarques potentiels ...


                                                Olivier