Accueil Actualités Documentation Téléchargement Vulnérabilités Phishing Hoax Virus Antivirus en ligne Contact
 
Secuser.com
 
GENERAL
Actualité du jour
Lettres d'information
Recommander ce site
Signaler un incident
Nous écrire
 
VIRUS
Alertes virus
Dossiers virus
Alertes par email
Antivirus gratuits
Antivirus en ligne
Désinfection
FAQ virus
 
PROTECTION
Alertes sécurité
Dossier firewall
Alertes par email
Firewalls gratuits
Scanner de ports
Antirootkits gratuits
Traceur IP/domaine
Windows Update
FAQ sécurité
 
PHISHING
Alertes phishing
Logiciels antiphishing
FAQ phishing
 
SPAM
Dossier spammning
Logiciels antispam
FAQ spam
 
VIE PRIVEE
Paiements en ligne
Dossier spywares
Antispywares gratuits
Vos traces sur le Net
FAQ vie privée
 
HOAX
Alertes hoax
Dossier hoax
Dossier viroax
Antihoax en ligne
FAQ hoax
 
NEWSLETTER
Recevez chaque semaine la lettre de Secuser.com :
 
 
DOSSIER
Dossier précédent | Archives dossiers | Dossier suivant
 
Accès réservé et protection de l'information sur un site web : deux méthodes simples
Par Emmanuel JUD (mis à jour en mai 2000)
Dessin Que vous souhaitiez créer une petite communauté d'internautes disposant chacun d'une page strictement personnelle, ou condamner l'accès à un répertoire à toute personne étrangère, voici deux solutions simples pour filtrer l'accès à tout ou partie de votre site web. Si vous êtes dans le premier cas, un petit javascript vous fournira une solution facile et élégante, mais pas incontournable. Si vous êtes dans le deuxième cas, une solution faisant intervenir le serveur qui héberge votre site est à préférer, car beaucoup plus fiable...

Votre site contient des informations de valeur que vous souhaitez réserver à vos clients ou à certains visiteurs? Vous souhaitez créer une petite communauté d'internautes disposant chacun d'une page strictement personnelle? Vous voulez interdire l'accès à un répertoire particulier de votre site? Voici deux solutions simples à mettre en oeuvre, les conseils de base ainsi que les pièges à éviter.

Solution n°1 : facile, pratique, mais contournable...

Les solutions "simples" de protection ou de restriction d'accès sont très répandues sur internet, depuis le petit javascript jusqu'à l'applet java vendue en shareware. Voici la solution la plus facile à mettre en oeuvre, la plus élégante pour le visiteur, et la moins chère : elle est gratuite!

Entrez le mot de passe :

Une boîte de dialogue comme ci-dessus demande l'entrée d'un mot de passe, qui correspond en fait au nom de la page web secrète, mais sans son extension .htm ou .html. Comme pour tout mot de passe, il faut que le nom des pages secrètes ne soit pas évident à trouver (évitez index, home,...). Par ailleurs, sans autre modification du script ci-dessous, il faut que les pages secrètes et la page comportant la boîte de dialogue se trouvent dans le même répertoire. Vous pouvez faire un essai ci-dessus en utilisant comme mot de passe "intrusion_troyens"... Plutôt bizarre comme mot de passe, mais c'est parce que vous êtes actuellement dans le répertoire des dossiers de Secuser.com :-)

<html>
<head>
<title>Titre de votre page</title>
<script LANGUAGE="JavaScript">
<!--
function checkPassword(ext) {
if ((document.pswdForm.pswd.value == null) || (document.pswdForm.pswd.value == ""))
alert("Entrez un mot de passe avant de valider.");
else this.location.href = document.pswdForm.pswd.value + ext;
}
// -->
</script>
</head>
<body>
<form NAME="pswdForm">
<p>Entrez le mot de passe :
<input TYPE="password" NAME="pswd" SIZE="24" MAXLENGTH="40">
<input TYPE="button" VALUE="Ok" onClick="checkPassword('.htm')"></p>
</form>
</body>
</html>

.htm : à changer si besoin selon l'extension de vos pages web (htm, html,...)

De tels dispositifs (javascript, applet java,...) ont pour point commun de ne pas faire intervenir directement le serveur dans le processus de contrôle d'accès aux pages protégées, ce qui constitue leur principale faiblesse. En effet, ils sont tous vulnérables de la même façon : ils sont incapables de s'opposer à l'accès aux pages par un moteur de recherche (à partir du moment où un lien extérieur pointe vers une des pages protégées) ou dans le cas d'une entrée manuelle "intuitive" d'une adresse web...

L'intérêt d'une restriction d'accès par ce procédé réside donc essentiellement dans sa mise en oeuvre très simple : en aucun cas il ne doit être utilisé pour interdire l'accès à des informations stratégiques ou confidentielles. En cela, certaines applets java proposées en shareware constituent pratiquement une arnaque, par le faux sentiment de sécurité qu'elles procurent...

Solution n°2 : un peu plus complexe, mais très efficace...

Cette fois, il s'agit de mettre en place une protection quasiment inviolable, qui ne pourra être contournée que par le hacking du serveur qui héberge votre site. Cela reste donc très exceptionnel, même si ça n'est jamais à exclure, aucune protection informatique n'étant à ce jour 100% fiable, 100% du temps...

Pour mettre en ouvre cette deuxième solution, il vous faut tout d'abord déterminer si votre site est hébergé sur un serveur Unix (ou assimilé) ou Windows NT (ou autre). Pour cela, consultez l'aide en ligne de votre hébergeur, ou utilisez le Traceur VisualRoute (entrez l'adresse de votre site web, cliquez sur Entrée, puis consultez les informations récupérées).

Si votre site est hébergé sur un serveur Unix (cas de la plupart des sites hébergés gratuitement), vous devez pouvoir mettre en place une protection  efficace grâce aux fichiers .htaccess et .htpasswd (en cas de doute, demandez confirmation à votre hébergeur pour vous en assurer). Pour cela, créez un premier fichier htaccess.txt (impossible de créer un fichier comme .htaccess sous Windows), dont le contenu sera celui-ci :

AuthUserFile /disks/votre-site/répertoire-à-protéger/.htpasswd    --> (1)
AuthGroupFile /dev/null
AuthName "Protection par mot de passe"    --> (2)
AuthType Basic

<Limit GET>
require valid-user
</Limit>

(1) chemin interne au serveur permettant d'accéder au fichier .htaccess contenu dans le répertoire à protéger (à demander à votre hébergeur)
(2) nom donné à la protection

Créez ensuite un second fichier, nommé htpasswd.txt, contenant les logins des personnes autorisées à accéder au répertoire, ainsi que les passwords correspondants sous forme cryptée. Pour crypter les mots de passe, vous pouvez utiliser cet encrypteur en ligne : saisissez le password, puis une clé (= deux lettres au hasard), puis cliquez sur "crypter" (le résultat est toujours une suite de lettres et de nombres sans signification). Le tout doit être disposé comme suit dans le fichier htpasswd.txt (n'oubliez pas les ":") :

login1:password1
login2:password2
login3:password3
login4:password4

Avec un logiciel tel que Cute FTP, transférez ensuite les deux fichiers htaccess.txt et htpasswd.txt sur le serveur qui héberge le site, dans le répertoire à protéger, puis renommez-les respectivement en .htaccess et .htpasswd. Il ne vous reste plus alors qu'à faire un test pour confirmer que l'accès au répertoire est bien verrouillé.

Si votre site est hébergé sur un serveur Windows NT ou 2000, vous devez avoir accès à un panneau de contrôle web qui vous permet de configurer les droits d'accès à votre site. Mais si vous n'êtes pas l'administrateur de votre site, demandez à votre hébergeur de configurer pour vous les droits d'accès du ou des répertoires concernés.

Attention aux moteurs de recherche!

Toute page web publiée dans un répertoire non protégé est susceptible d'être indexée par les moteurs de recherche et de ressortir dans les résultats de recherche d'une personne qui taperait les bons mots-clés.

Pour éviter cela, il faut placer une balise spécifique dans le code HTML des pages qui ne doivent pas être indexées, afin d'indiquer aux moteurs de ne pas les référencer :

<html>
<head>
<title>Titre de votre page</title>
<META NAME="robots" CONTENT=" noindex">
</head>
<body>
</body>
</html>


Cette balise n'étant pas respectée par tous les moteurs de recherche, il vaut mieux définir également un fichier robot.txt directement interprétable par les robots indexeurs. Un tel fichier permet d'ailleurs d'interdire le référencement du contenu d'un répertoire entier en une seule opération, sans avoir à toucher aux pages qu'il contient.

Voilà pour les données de base permettant de protéger ou de restreindre l'accès à votre site web. Dans tous les cas, montrez-vous magnanimes envers les visiteurs non désirés en évitant d'interdire l'accès y compris de la page d'acceuil de votre site, sous peine de passer pour un très grossier personnage :-)

LIENS UTILES :

- Traceur VisualRoute
- Article sur la mise en place des fichiers .htaccess et .htpasswd
- Encrypteur en ligne (OVH)
- Article de WebDeveloper.com sur les tags META (en anglais)
- Article sur la mise en place d'un fichier robot.txt (en anglais)
- Article sur les robots indexeurs (en anglais)

 


 

 

 
PUBLICITE
 
RECHERCHE
Recherchez un mot-clé
dans le site Secuser.com :

 
LIENS AMIS
Hoaxkiller.fr
Ne vous laissez plus piéger par les fausses informations qui envahissent le Net.
Inoculer.com
Annuaire de logiciels gratuits pour protéger votre ordinateur.
 
  Copyright © 1998-2016 Emmanuel JUD - Tous droits réservés - Secuser est une marque déposée - Charte vie privée
Outils gratuits - Guides gratuits - Livres - Glossaire - Fils d'information - Bannières et boutons