Sécurisation de serveur Web

[invitefe13849d]

Salut bonjour à tous !
Voilà je vous expose mon problème, j'ai un site web avec des fichiers en téléchargements dessus, les fichiers sont dans un dossier http://monsite/telechargements/
Le téléchargement sur le site s'effectue uniquement si ont est enregistré et logué ! Le seul problème c'est que des petits malin contourne se loggage obligatoire en passant par http//monsite/telechargements/, ils ont alors accès directement au dossier et peuvent tout simplement télécharger les fichiers !

J'aimerai connaitre les protections que je peut mettre en place pour empecher l'accès via http://monsite/telechargements/ et forcer les utilisateur a passer par le site !

Je suis preneur de tout type de combines (php, javascript, .hacces, ...).
Merci d'avance !
-----

[invite24357dd0]

Bonjour,
Une solution toute simple : mets un fichier index.html avec redirection vers ton site (http://monsite/telechargements/ -> http://monsite/telechargements/index.html -> http://monsite/). Le seul problème est que ceux qui se seront loggés correctement n'auront pas non plus accès au listing par défaut d'un répertoire (en l'absence de fichier index). Une solution serait alors de créer cette liste dans un fichier (html) situé dans la partie protégée de ton site.
On retrouve le même problème si tu interdits le listing du répertoire telechargements via .htaccess ou directement dans la configuration du serveur.
Une autre solution serait encore de mettre un fichier index.php qui "cacherait" ainsi le listing par défaut du répertoire. Ce fichier demanderait d'abord l'identification de l'utilisateur et, en cas de succès, il afficherait le contenu du répertoire sous forme de liens html (utilisation de la fonction scandir() de php). Tu peux aussi ajouter l'identification aux scripts de PHP Directory Listing.

[invitefe13849d]

Merci pour la réponse, j'ai finalement trouver le système.
Pour cacher le contenu d'un dossier il faut mettre un fichier .htaccess dedans.
Contenant ceci :
Options -Indexes
IndexIgnore *.*

[invited5095748]

Oui effectivement, c'est ça la bonne solution.

.htaccess est la seule véritable restriction d'accès sur serveur Apache.
Le fait d'être loggué ou pas sur un site en php fait que ton programme php va générer une page du genre "Vous n'avez pas accès, veuillez vous identifier", mais n'empèche effectivement pas d'accèder à n'importe quel fichier, si on en connait l'adresse exacte.

[A voir en vidéo sur Futura]