4 203
modifications
« Installation de configuration du serveur web Apache 2.4 sous Debian Bullseye » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation de configuration du serveur web Apache 2.4 sous Debian Bullseye (voir la source)
Version du 14 janvier 2017 à 12:14
, 14 janvier 2017→Authentification Basic
| Ligne 173 : | Ligne 173 : | ||
* le mot-de-passe est stocké de manière cryptée sur le serveur | * le mot-de-passe est stocké de manière cryptée sur le serveur | ||
* le client envoi le mot-de-passe en clair au serveur (en base64 en fait, mais c'est du pareil au même), ce qui rend ce mode non sécurisé si la connexion n'est pas effectuée en HTTPS | * le client envoi le mot-de-passe en clair au serveur (en base64 en fait, mais c'est du pareil au même), ce qui rend ce mode non sécurisé si la connexion n'est pas effectuée en HTTPS | ||
* Préférez la création d'un fichier nommé <code>.htpasswd</code> étant donné que ces fichiers sont interdits de lecture par la configuration par défaut de apache (/etc/apache2/apache2.conf) | * Préférez la création d'un fichier nommé <code>.htpasswd</code> étant donné que ces fichiers sont interdits de lecture par la configuration par défaut de apache (/etc/apache2/apache2.conf). Dans la mesure du possible, ne créez des fichiers <code>.htpasswd</code> que dans un dossier de toute façon inaccessible au serveur web (donc en dehors du documentroot et de tout alias). En effet, les directives d'autorisations de apache d'une section supérieure annule les directives d'autorisations précédentes de apache (<code>AuthMerging</code> à off par défaut), donc si vous autorisez l'accès complet à un repertoire (require all granted), vous risquez de supplanter la directive interdisant l'accès aux fichiers protégés | ||
<br> | <br> | ||