Mot de passe .htaccess, Le même que pour l'espace d'administration ? Options

[mluce194]

Bonjour,

Je travaille sur une boutique oscommerce version 2.2 et mon espace d'administration est sécurisé par login et mot de passe. J'aimerais rajouter une sécurisation par.htaccess mais je pense que ça embêtera mon client de devoir retenir deux mots de passe pour accéder à l'admin (surtout que je compte faire 2 mots de passe assez compliqués, toujours par sécurité). Vu que je n'y connais rien en piratage, j'aimerais savoir si je peux utiliser le même login et mot de passe pour l'administration et le .htaccess. Ou est-ce que, du coup, ça ne sert à rien qu'il y ait cette double sécurité si je procède comme ça ?

[Gnidhal]

Bonsoir,
Ce n'est pas la même protection ni le même type de fonctionnement :
le .htaccess bloque tout accès au dossier et sous-dossiers qu'il protège. C'est la sécurité optimale pour éviter les tentatives de visite des hackers : ils ne peuvent tout simplement pas accéder au dossier et à tout son contenu sans log+pwd. Mais la sécurité est ouverte tant que le navigateur est ouvert. Elle se referme avec le navigateur.
La sécurité intégrée à osc est une protection par session. Une fois loggué, tant qu'on navigue dans les scripts, la session est active donc la sécurité est ouverte. Elle se referme seule au bout de la session (normalement 20 minutes) c'est à dire après 20 minutes d'inactivité même si le navigateur reste ouvert.
Elle est en revanche plus perméable que la sécurité .htaccess car si un script se trouve accessible sans l'identifiant de session, il devient une faille potentielle.
Ainsi, la sauvegarde stockée dans le dossier admin/backup/ devient lisible dès qu'on connait simplement le chemin d'accès complet au fichier et sans identifiant alors qu'il ne le serait pas avec un .htaccess.

Tu peux donc coupler les deux et même récupérer l'identifiant (et parfois le mot de passe) provenant du .htaccess par les variables
$_SERVER['REMOTE_USER']
$_SERVER['PHP_AUTH_USER']
$_SERVER['PHP_AUTH_PW']

à toi de voir celles qui te sont accessibles (toutes ne le sont pas en fonction de la config de l'hébergement) pour permettre après l'identification .htaccess la validation de la première session sans devoir ressaisir log+pwd. Si la session se referme, l'utilisateur devra resaisir ses log et pwd dans la page d'accueil osC.
Ainsi ton client peut s'absenter entre midi et deux en laissant son navigateur ouvert. Si un intrus passe en son absence et que la session est timeout, il devra s'identifier.
La sécurité de session devient alors un complément à la sécurité .htaccess.

Sinon, doubler la sécurité avec des logs et pwd différents me parait disproportionnée pour une administration de boutique et s'il faut en choisir une c'est indiscutablement .htaccess.

[mluce194]

Gnidhal,

Merci pour ta réponse très intéressante. Peux-tu me donner plus d'informations concernant la possibilité de récupérer le login et mot de passe du .htaccess ? Où faut-il utiliser les variables dont tu parles ?

Sinon, d'après ce que je comprends, utiliser le même login et mot de passe pour les deux authentifications devraient convenir aussi ?

[Gnidhal]

T'en dire plus ? tu veux un bout de code ?
Non je crois que cette piste est suffisante. Quant à coder ça, ça doit être possible sans grosse difficulté. Il suffit de balancer les contenus des variables $_SERVER qui vont bien dans le variable de session juste à l'arrivée.
Toutefois la première chose est de vérifier que tu as bien ces deux variables en clair et renseignées par un simple echo.
Pour ma part, chez mon hébergeur les variable de type $_SERVER['PHP_AUTH_xx'] sont vides mais j'ai pu récupérer le log par $_SERVER['REMOTE_USER'].
Le mot de passe devra donc être entré deux fois.