htaccess

Général
1

Bonjour et bonne année à chacune et chacun
J’ai besoin de restreindre l’accès public à l’ensemble du site sur lequel je travaille. En clair, les utilisateurs doivent disposer d’un log + pass pour pouvoir voir le contenu du site. J’ai essayé plusieurs solutions (dont http://conseilscreation.free.fr/pages/securiser.php).… Comme indiqué, j’ai placé le fichier htaccess dans le répertoire à protéger. Je l’ai donc mis à la racine du site (dossier www) puis, comme ça ne fonctionnait pas, je l’ai mis dans le dossier supérieur… Puis comme ça ne fonctionnait toujours pas, je l’ai placé dans le dossier squelettes en prenant soin de modifier le chemin vers le htpsw correspondant… Mais enfin, chaque fois que je tente d’accéder au site, j’ai bien la demande de log et pass qui s’affiche, j’entre le log et pass (en clair comme précisé dans le doc securiser.php ci-dessus). Et à chaque fois, la fenêtre revient sans jamais que cela ne fonctionne.
Dans un vieux poste à la liste, j’ai vu (entre deux polémiques sur le libre ou pas libre…) que « Un . htaccess porte sur le dossier où il est présent et sur tous ses sous-dossiers sauf si eux-même ont un .htaccess »
J’ai donc vérifié qu’un tel fichier ne soit pas présent. Or, en tout cas c’est que j’ai pensé, il y a ce type de fichier dans le CACHE et dans d’autres parties (ne serait-ce que pour protéger les pass)…
J’ai essayé par ailleurs le plugin Acces Restreint qui ne semble pas non plus fonctionner avec la version de SPIP que j’utilise (1.9.1)… En fait, il me semble avoir lu correctement la documentation accompagnant le plugin (installation - mise en marche…) malheureusement, lorsque je le déclenche, je n’ai plus rien… Et je ne peux donc pas le paramétrer comme il semble que cela soit prévu.

Je vous remercie déjà de la patience dont vous aurez fait preuve pour lire ce mail et ensuite pour toute information me permettant d’enfin parvenir à régler ce petit problème.

Merci encore
t

2

C’est un peu confus…

Mais pour htaccess… tu dois le placer à la racine de ton site, puisque un squelette est lu depuis spip.php à la racine.

En effet, Access restreint est un petit bijou, mais il faut 1.9.2… la mise à jour n’est pas vraiment compliqué, donc je te conseillerais de passer ton site en 1.9.2c.
L’utilisation de ce plugin me semble aussi être une solution plus simple qu’un .htaccess, au sens où, dans le futur, tu pourrais souhaiter laisser quelques infos filtrer ou je ne sais quoi… Et ce sera plus simple à faire qu’avec un .htaccess, amha.

Quand à la question du « libre » ou « pas libre » en regard de l’accès sur ton site… Tu peut avoir toutes les raisons du monde de vouloir le protèger et ça te regarde. Je ne vois pas le problème.

Bonne journée

Ed

Le 03/01/08, tt <mafond@yahoo.fr> a écrit :

Bonjour et bonne année à chacune et chacun
J’ai besoin de restreindre l’accès public à l’ensemble du site sur lequel je travaille. En clair, les utilisateurs doivent disposer d’un log + pass pour pouvoir voir le contenu du site. J’ai essayé plusieurs solutions (dont http://conseilscreation.free.fr/pages/securiser.php).… Comme indiqué, j’ai placé le fichier htaccess dans le répertoire à protéger. Je l’ai donc mis à la racine du site (dossier www) puis, comme ça ne fonctionnait pas, je l’ai mis dans le dossier supérieur… Puis comme ça ne fonctionnait toujours pas, je l’ai placé dans le dossier squelettes en prenant soin de modifier le chemin vers le htpsw correspondant… Mais enfin, chaque fois que je tente d’accéder au site, j’ai bien la demande de log et pass qui s’affiche, j’entre le log et pass (en clair comme précisé dans le doc securiser.php ci-dessus). Et à chaque fois, la fenêtre revient sans jamais que cela ne fonctionne.
Dans un vieux poste à la liste, j’ai vu (entre deux polémiques sur le libre ou pas libre…) que « Un . htaccess porte sur le dossier où il est présent et sur tous ses sous-dossiers sauf si eux-même ont un .htaccess »
J’ai donc vérifié qu’un tel fichier ne soit pas présent. Or, en tout cas c’est que j’ai pensé, il y a ce type de fichier dans le CACHE et dans d’autres parties (ne serait-ce que pour protéger les pass)…
J’ai essayé par ailleurs le plugin Acces Restreint qui ne semble pas non plus fonctionner avec la version de SPIP que j’utilise (1.9.1)… En fait, il me semble avoir lu correctement la documentation accompagnant le plugin (installation - mise en marche…) malheureusement, lorsque je le déclenche, je n’ai plus rien… Et je ne peux donc pas le paramétrer comme il semble que cela soit prévu.

Je vous remercie déjà de la patience dont vous aurez fait preuve pour lire ce mail et ensuite pour toute information me permettant d’enfin parvenir à régler ce petit problème.

Merci encore
t

liste spip
spip@rezo.net - désabonnement : spip-off@rezo.net
Infos et archives : http://listes.rezo.net/mailman/listinfo/spip
Documentation de SPIP : http://www.spip.net/
irc://irc.freenode.net/spip
FAQ : http://www.spip.net/fr_article1054.html


Edouard Reinach
ereinach@gmail.com
+1 514 582 5156

War is God’s way of teaching Americans geography - Ambrose Bierce

3

Edouard Reinach wrote:

C'est un peu confus...

Mais pour htaccess.. tu dois le placer à la racine de ton site, puisque un squelette est lu depuis spip.php à la racine.

En effet, Access restreint est un petit bijou, mais il faut 1.9.2... la mise à jour n'est pas vraiment compliqué, donc je te conseillerais de passer ton site en 1.9.2c.
L'utilisation de ce plugin me semble aussi être une solution plus simple qu'un .htaccess, au sens où, dans le futur, tu pourrais souhaiter laisser quelques infos filtrer ou je ne sais quoi... Et ce sera plus simple à faire qu'avec un .htaccess, amha.

Quand à la question du "libre" ou "pas libre" en regard de l'accès sur ton site... Tu peut avoir toutes les raisons du monde de vouloir le protèger et ça te regarde. Je ne vois pas le problème.

Bonne journée

Ed

En fait le .htaccess doit être à la racine de ce qui doit être protégé. Si ton SPIP est installé à la racine du site web alors le .htaccess contenant AuthType Basic doit être situé à la racine lui aussi.

Concernant l'authentification elle-même : rien ne sert de la déplacer pour "que ça fonctionne". Le problème est ailleurs :
- soit le chemin vers le fichier .htpasswd n'est pas correct
- les droits du fichier .htpasswd
- les mots de passe sont "mal cryptés" (avec un module qui n'est pas celui utilisé par le serveur Apache que tu utilises)
- lors des essais, peut être une saisie de mot de passe erroné (maj/min, crypté etc)
- le nom de l'utilisateur est mal écrit (accentuées, espaces etc) dans le fichier .htpasswd
- ...

Tu trouveras avec Google toutes les situations possible et comment les analyser/corriger , ce n'est pas un problème typique SPIP :slight_smile:

Maintenant je ne connais pas ton besoin, mais utiliser une authentification Apache est souvent lourd/pénible dans le temps et fini souvent avec un unique login/mot de passe connu et utilisé de tous.
Alors qu'avec spip tu as la possibilité de gérer l'identification des visiteurs et de restreindre l'affichage des pages uniquement aux visiteurs authentifiés...

--Chryjs

4

Et c’est sans compter que s’ils oublient leur mot de passe… Ils pourront s’en faire un nouveau au lieu de te demander le code et de t’obliger è fouiller dans ton htaccess…

Le 03/01/08, chryjs <chryjs@free.fr> a écrit :

Edouard Reinach wrote:

C’est un peu confus…

Mais pour htaccess… tu dois le placer à la racine de ton site, puisque
un squelette est lu depuis spip.php à la racine.

En effet, Access restreint est un petit bijou, mais il faut 1.9.2… la
mise à jour n’est pas vraiment compliqué, donc je te conseillerais de
passer ton site en 1.9.2c.
L’utilisation de ce plugin me semble aussi être une solution plus simple
qu’un .htaccess, au sens où, dans le futur, tu pourrais souhaiter
laisser quelques infos filtrer ou je ne sais quoi… Et ce sera plus
simple à faire qu’avec un .htaccess, amha.

Quand à la question du « libre » ou « pas libre » en regard de l’accès sur
ton site… Tu peut avoir toutes les raisons du monde de vouloir le
protèger et ça te regarde. Je ne vois pas le problème.

Bonne journée

Ed

En fait le .htaccess doit être à la racine de ce qui doit être protégé.
Si ton SPIP est installé à la racine du site web alors le .htaccess
contenant AuthType Basic doit être situé à la racine lui aussi.

Concernant l’authentification elle-même : rien ne sert de la déplacer
pour « que ça fonctionne ». Le problème est ailleurs :

  • soit le chemin vers le fichier .htpasswd n’est pas correct
  • les droits du fichier .htpasswd
  • les mots de passe sont « mal cryptés » (avec un module qui n’est pas
    celui utilisé par le serveur Apache que tu utilises)
  • lors des essais, peut être une saisie de mot de passe erroné (maj/min,
    crypté etc)
  • le nom de l’utilisateur est mal écrit (accentuées, espaces etc) dans
    le fichier .htpasswd

Tu trouveras avec Google toutes les situations possible et comment les
analyser/corriger , ce n’est pas un problème typique SPIP :slight_smile:

Maintenant je ne connais pas ton besoin, mais utiliser une
authentification Apache est souvent lourd/pénible dans le temps et fini
souvent avec un unique login/mot de passe connu et utilisé de tous.
Alors qu’avec spip tu as la possibilité de gérer l’identification des
visiteurs et de restreindre l’affichage des pages uniquement aux
visiteurs authentifiés…

–Chryjs


Edouard Reinach
ereinach@gmail.com
+1 514 582 5156

War is God’s way of teaching Americans geography - Ambrose Bierce

5

Merci pour ces réponses. Je vais migrer vers le 1.9.2. Pour ce qui est du « libre » « pas libre », il ne s’agissait pas d’un commentaire que je faisais mais d’un extrait de celui trouvé sur le post ancien dont je parlais. Enfin, concernant le site sur lequel je travaille, il s’agit d’un intranet et les commendaitaires préfèrent que les informations qui y sont contenues ne soient pas publiques.
Bref, histoire de ne pas encombrer les lectures inutilement, je n’ai qu’une chose à dire : merci encore de vos informations.
t

Le 03/01/08, chryjs <chryjs@free.fr> a écrit :

Edouard Reinach wrote:

C’est un peu confus…

Mais pour htaccess… tu dois le placer à la racine de ton site, puisque
un squelette est lu depuis spip.php à la racine.

En effet, Access restreint est un petit bijou, mais il faut 1.9.2… la
mise à jour n’est pas vraiment compliqué, donc je te conseillerais de
passer ton site en 1.9.2c.
L’utilisation de ce plugin me semble aussi être une solution plus simple
qu’un .htaccess, au sens où, dans le futur, tu pourrais souhaiter
laisser quelques infos filtrer ou je ne sais quoi… Et ce sera plus
simple à faire qu’avec un .htaccess, amha.

Quand à la question du « libre » ou « pas libre » en regard de l’accès sur
ton site… Tu peut avoir toutes les raisons du monde de vouloir le
protèger et ça te regarde. Je ne vois pas le problème.

Bonne journée

Ed

En fait le .htaccess doit être à la racine de ce qui doit être protégé.
Si ton SPIP est installé à la racine du site web alors le .htaccess
contenant AuthType Basic doit être situé à la racine lui aussi.

Concernant l’authentification elle-même : rien ne sert de la déplacer
pour « que ça fonctionne ». Le problème est ailleurs :

  • soit le chemin vers le fichier .htpasswd n’est pas correct
  • les droits du fichier .htpasswd
  • les mots de passe sont « mal cryptés » (avec un module qui n’est pas
    celui utilisé par le serveur Apache que tu utilises)
  • lors des essais, peut être une saisie de mot de passe erroné (maj/min,
    crypté etc)
  • le nom de l’utilisateur est mal écrit (accentuées, espaces etc) dans
    le fichier .htpasswd

Tu trouveras avec Google toutes les situations possible et comment les
analyser/corriger , ce n’est pas un problème typique SPIP :slight_smile:

Maintenant je ne connais pas ton besoin, mais utiliser une
authentification Apache est souvent lourd/pénible dans le temps et fini
souvent avec un unique login/mot de passe connu et utilisé de tous.
Alors qu’avec spip tu as la possibilité de gérer l’identification des
visiteurs et de restreindre l’affichage des pages uniquement aux
visiteurs authentifiés…

–Chryjs

6

On Thu, 03 Jan 2008 21:52:57 +0200, chryjs <chryjs@free.fr> wrote:

Concernant l'authentification elle-même : rien ne sert de la déplacer
pour "que ça fonctionne". Le problème est ailleurs :

En plus, le posteur initial est chez free.fr, qui ont implémenté les .htaccess avec pas mal de particularités "maison" (par exemple, les mots de passe doivent être dans un fichier avec un nom particulier, un certain nombre de "rewrite" ne marchent pas, etc).

JF

--
Using Opera's revolutionary e-mail client: Opera Web Browser | Faster, Safer, Smarter | Opera