Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1811 connectés 

  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Résolu] HTTPS et .htaccess

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[Résolu] HTTPS et .htaccess

n°2817744
superjarod​d
Posté le 04-11-2008 à 21:01:15  profilanswer
 

Bonjour,  
 
Au boulot le net est filtré et très surveillé. A défaut d'avoir le temps de passer mon site sur https, je voudrais savoir si un htaccess avec identification peut être "surveillable", c-a-d si on peut voir le contenu du site ? Et si on peut aussi voir mon mdp : passe-t-il en clair ou pas ? Il n'y a rien d'interdit dans le contenu, seulement je veux juste éviter que tout soit vu par le service info, mais je ne sais pas si le .htaccess peut remplacer le https... Merci pour vos réponses !


Message édité par superjarodd le 05-11-2008 à 18:46:36
mood
Publicité
Posté le 04-11-2008 à 21:01:15  profilanswer
 

n°2817774
FR-DarkRod
Informag€€k
Posté le 04-11-2008 à 23:41:14  profilanswer
 
n°2817866
Je@nb
Modérateur
Kindly give dime
Posté le 05-11-2008 à 13:26:29  profilanswer
 

si c pas chiffré en https, tout passe en clair (contenu des pages et mdp)

n°2817973
superjarod​d
Posté le 05-11-2008 à 18:46:20  profilanswer
 

C'est ce que je pensais... Même derrière un .htaccess alors ? Chié...
 
Bon tant pis, merci pour vos réponses !

n°2817987
Profil sup​primé
Posté le 05-11-2008 à 19:19:29  answer
 

derrière un htaccess pas de soucis

n°2817990
superjarod​d
Posté le 05-11-2008 à 19:22:27  profilanswer
 

Ah faudrait savoir  :pt1cable:  
 
C'était le but de ma question : je ne peux pas mettre mon site en https, est-ce qu'un htaccess est visible ou pas ? De même que le mot de passe du htpasswd ? Est-ce qu'on ne voit que l'url et rien d'autre, ou on voit ce qui transite ?

n°2817991
Profil sup​primé
Posté le 05-11-2008 à 19:26:19  answer
 

on ne voit que l'URL, htaccess est totalement transparent du client.
Dans un htpassw le mot de passe est crypté (avec l'alog Unix DES il me semble).
Le seule exploit possible dans le cas d'une demande d'authentification avec Htaccess / Htpassw est celui de la faille include (via PHP).
:jap:

n°2818005
Je@nb
Modérateur
Kindly give dime
Posté le 05-11-2008 à 19:51:30  profilanswer
 

Non le contenu est en clair.
 
Le mot de passe qui passe en authentification HTTP Basic est du simple base64 du login:mdp
 
Après le mdp que tu met dans le htpasswd est caché mais ça c'est si tu ouvres le fichier htpasswd, chose que tu fais jamais.
 
 
Si tu prends un flux HTTP avec authentification basic (que tu fais avec ton .htaccess) tu as :
- la requête en clair (en têtes et contenu)
- la réponse en clair (en têtes et contenu)
- le login:passwd en base64 (c'est à dire que c'est juste codé pour pouvoir transiter sans pb, mais c'est pas du chiffrage, tu tapes bas64 sous google et tu "décodes" en rien de temps)
 
Donc si tu te mets au milieu (proxy, passerelle, sniffer etc.) tu vois tout

n°2818007
Profil sup​primé
Posté le 05-11-2008 à 19:54:09  answer
 

le pwd est transmis au client ??
Moi j'ai jamais vu un htpassw codé en base64 (je connais cet algo de cryptage) mais toujours hashé :??:

n°2818008
superjarod​d
Posté le 05-11-2008 à 19:55:07  profilanswer
 

C'est compliqué [:tinostar]  
 
Je ne pige pas si les pages vues APRES l'authentification, toujours sur du http donc) sont en clair ou pas ? [:befree]

mood
Publicité
Posté le 05-11-2008 à 19:55:07  profilanswer
 

n°2818009
Je@nb
Modérateur
Kindly give dime
Posté le 05-11-2008 à 19:57:37  profilanswer
 

Tu transmets jamais le htpasswd.
 
Mais le client qd il s'authentifie sur le serveur, il envoie son mdp en base64, il est débase64isé par le serveur et hashé pour être comparé avec le contenu du htpasswd.
 
Essaie, fais un rep avec un htaccess/htpasswd, lance un wireshark sur ton client ou serveur (ou au milieu), va sur le site, entre ton login/mdp, tu auras le Authorization: Basic trucbase64==
 
Faire un décode du base64 et tu auras login:mdp

n°2818010
Profil sup​primé
Posté le 05-11-2008 à 19:59:53  answer
 

ah ok merci


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Windows & Software
  Sécurité

  [Résolu] HTTPS et .htaccess

 

Sujets relatifs
[Résolu] Windows Defender ne démarre pas automatiquementvirus même après formatage(non résolu)a lire SVP je craque!!
[résolu]virus impossible à detecter (edit: virus mabezat)Fenêtres internet qui tremblent quand elles veulent. Virus? [RESOLU]
[Résolu] Stratégie de groupe - Pas d'option réseau[Résolu] Firefox plante avec Adobe acrobat 9.0
[|RESOLU]pa39xth.cmd sur ma clé USB[résolu] Multiboot Vista après sa désinstall?
[RÉSOLU] Ecran bleu suite à une mise à jour windows[résolu] Antivir : détection régulière dans System Volume Information
Plus de sujets relatifs à : [Résolu] HTTPS et .htaccess


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR