Je dois réaliser un module sécurisé dans un site web en PHP/MySQL
 
Seuls les utilisateurs habilités (identification par login/mot de passe) peuvent accéder à une section téléchargement à partir de laquelle il peuvent obtenir des fichiers.
 
Bien entendu les fichiers téléchargeables sont situés dans un répertoire du serveur MySQL. L'utilisateur non habilité ne doit pas être en mesure de télécharger ces fichiers (en saisissant le chemin dans le navigateur par ex.)
 
Il semble qu'une solution à base de ht-acces soit envisageable mais pose quelques problèmes d'utilisation.

Et le probleme est???

Sécuriser les fichiers téléchargeables

En fait ce sont des logiciels complets à plusieurs M€, tu vois pourquoi ça doit être BLINDE!

Il y a une tonne de doc la dessus, mais tu as raison, faut faire ça avec les htacces, bonne chance

Heu je débute en PHP (mais pas en prog):
 
Une question me viens à l'esprit, comment empêcher l'affichage de la fenêtre de login affichée par le système de gestion ht-acces (si j'ai bien compris son fonctionnement) alors que l'utilisateur c'est déja authentifié?

oups je voulais dire "s'est déja authentifié"

il l'affiche plus tant que tu ferme pas ta fenetre.   c'est bien foutu hein?  

oui effectivement ça l'est. Il suffit donc de mettre ma page de login dans le répertoire sécurisé avec les fichiers c'est ça?

esox_ch: tu sembles en savoir long sur le sujet, a tu des liens à me passer STP?

"page de login", faut voir ce que tu entend par là. il faut juste mettre un fichier .htaccess (et .htpasswd)
 
tape "htaccess" sur google et lis.  
 
edit:
et je plussois ce qu'à dit esox, il te faut imperativement du htaccess et aucune autre methode d'authentification. c'est sans aucun doute la solution la plus fiable si tes programmes sont si couteux.  

Perso je gere pas les autorisations avec htacces + htpassword parceque j'aime pas ne pas savoir qui accede quand &co, et vu que les logs apache sont pas toujours à dispo ... En general je deplois ça autrement ... Mais matte un peu sur le net la doc su htaccess ,tu y trouve facilement tout ce qui peut servire

il est obligé de faire avec htaccess de toute façon. sinon on va lui aspirer ses programmes.  

bon je résume l'architecture:
 
module libre d'accès -> page d'authentification -> module de téléchargement réservés uniquement aux membres.
 
le module de téléchargement compte plusieurs pages php.
la page d'authentification est une page perso (pas celle de htacces).
Les utilisateurs appartiennent à des catégories différentes Chaque catégorie à des droits différents.
Utilisateurs et mots de passe sont gérés dans la base de données.
Utilisation des Sessions

Oui je pense. Pour plus d'info http://fr2.php.net/features.http-auth.
 
( slash33 : Il y a un bouton "éditer"(une feuille avec une gomme) qui permet d'éviter de poster un message pour corriger le message que l'on a posté. )

Donc ma contrainte, est comme esox_ch, de savoir QUI se log pour déterminer ses droits.

Ca tu peux soit essayer de te la jouer un peux avec les permissions & co, soit faire une interface php qui viendra se poser par dessus de ton htaccess

nan. ça c'est bien pour proteger l'accès à des pages. pour des programmes moi j'frais pas comme ça.
--> moi jdis htaccess c'est tout.  
 
tes programmes peuvent être telechargés par des logiciels dédiés à distance. le htaccess leur coupe la connexion alors que ton fichier avec du code php (que ce soit super bien fait, avec des sessions et blablabla) n'y fera rien.

Et c'est la que tu te plantes . Je parle pas de pages secretes ou les liens seront recenssés, je parle d'un deny all dans le htacces et que seulement apres t'etre identifié tu puisse les chopper ..

 
Cela me semble être une alternative interessante, comment fais-tu dans la pratique?

Bein la je te renvoie a des tutoriaux PHP, je peux pas t'apprendre en directe comment creer une interface d'autentification .. c'est ... relativement long

D'accord mais t'as pas un lien STP?

La doc sur www.php.net, y a une section securité  
et jepense que sur tout bon site genre developpez il doit y avoir de quoi faire

D'ac je regarderais dans le détail, merci à tous pour la participation.

Une solution:
 
1. mettre tes logiciels dans un repertoire avec un "deny from all"
2. le telechargement pourra se faire via un script php qui acceptera le telechargement si des variables de sessions attestent de l'identite de la personne.
3. une interface de login/pass pas franchement difficile a mettre en place qui cree les variables de sessions qui vont bien si la personne a mis les bons login/pass.
 
En klk mots :
Pour recuperer tes fichiers via HTTP une seule solution : le script php qui passe outre le .htaccess et qui verifient la presence des bonnes variables de sessions pour autoriser le telechargement.

ué ué on se comprend. j'insistais sur le htaccess. après comment tu bidouille on s'en branle.

C'est bien beau tout ca, mais si le tout doit etre si "securise" que cela, le fait de se loguer et d'envoyer les mots de passe en clair sur le net, n'est pas ce qu'il y a de plus malin.
 
La mise en place d'une section en ssl me parait deja mieux.

 
 
C'est clair qu'apres on peut broder . Mais la piste que j'ai proposé n'empeche en rien le ssl

 
Est-ce indispensable, si les mots de passe sont cryptés?

 
Comment est-il possible de passer outre le htaccess justement    

 
Bon à savoir  

Faut m'expliquer comment on pourrait lire une fichier qui se trouve dans une directory "deny all" sinon

 
Par FTP par ex?

Je parlais toujours du monde php...

Peut être que ça n'a rien à voir, mais ça pourrait t'aider :
 
le "script" (à son niveau, on peut plus appelé ça un script ) de gallery2 (gallery.sf.net) fonctionne sur un principe intéressant.
 
Les photos ne sont pas accessibles directement, elles sont stockées sur un dossier qui n'est pas dans le htdoc d'Apache.
 
Donc, il est obligatoire de passer par le php pour y accéder. Ça me semble répondre à ce que tu veux : tu te fais pas chier avec des .htaccess, et tu gères tes droits facilement.
 
Après, je sais pas si c'est applicable pour des fichiers (même si à priori, je ne vois pas pourquoi ça ne le serait pas)...
 
Voilà, peut être une autre piste

Bien mais cela ne posera t-il pas un problème avec l'hébergeur du site?

 
Toutafé, tu peux pas le faire

 
 
Ah ok, tu peux pas faire ce que tu veux
 
Tu peux pas lui demander ? Si c'est le site de ta boite, tu dois pouvoir t'arranger

 
Si vous plait! Vous me laissez l'acces a /usr/sbin ? J'aimerais placer des trucs laba dedans

Donc il vaux mieux les conserver dans le dossier htdocs    
et faire un ftp pour mettre à jour les fichiers?