25-07-2011, 12:59 PM
Pour ma part, je pense que les pages d'admin protégées par un .htaccess et .htpasswd ne sont pas une bonne sécurité.
Pourquoi ?
Un .htaccess ça se "squizz"... Pour moi rien ne vaut une sécurité par session et un faux formulaire d'administration (combien se sont fait piégés sur mon jeu)...
Je reviens sur le .htaccess, il suffit de lancer une requete HTTP bien formée sur le formulaire et vous le passerez. La démonstration n'est plus à faire, je l'ai fait un nombre incalculable de fois... Dans vos commandes sur le .htaccess, il faut veiller à bloquer les méthodes HEAD, OPTIONS et PUT (surtout cette dernière). Car par défaut, le .htaccess ne bloque que les requêtes HTTP en GET et POST.
Pourquoi ?
Un .htaccess ça se "squizz"... Pour moi rien ne vaut une sécurité par session et un faux formulaire d'administration (combien se sont fait piégés sur mon jeu)...
Je reviens sur le .htaccess, il suffit de lancer une requete HTTP bien formée sur le formulaire et vous le passerez. La démonstration n'est plus à faire, je l'ai fait un nombre incalculable de fois... Dans vos commandes sur le .htaccess, il faut veiller à bloquer les méthodes HEAD, OPTIONS et PUT (surtout cette dernière). Car par défaut, le .htaccess ne bloque que les requêtes HTTP en GET et POST.