Protéger un site web avec un mot de passe

#1

Salut la Zone,
Je crée un petit site web (une page statique, template HTML/CSS récupérée sur le web) et j’aimerai le protéger avec un mot de passe. J’ai vu des exemples en javascript (genre ça) mais le problème c’est que ça ne protège pas vraiment la cible (ie si on connait la page cible, on peut y accéder). Autre possibilité, utiliser un .htaccess, mais ça lance un prompt pas très sympa pour l’utilisateur, et surtout il faut forcément user+mdp, or je n’ai besoin que d’un mot de passe.
Je suis plutôt néophyte en dev web (j’ai des bases en HTML/CSS, pas plus), après si on me file un script PHP clef en main je devrais pouvoir m’en sortir.
Merci d’avance !

#2

Hello,

C’est très facile en php, regarde les tuto “php espace membre” et tu trouvera ton bonheur.

1 Like
#3

En cherchant un peu du côté de PHP, je suis tombé là-dessus et c’est pile-poil ce qu’il me faut, les conseils en commentaire sont pas mal. Il faut juste que je rajoute un cookie pour se souvenir du mot de passe et ne pas avoir à se logger à chaque fois.

#4

sinon dans les idées connes tu peux faire un ftp avec user + mdp dans l’url

du style ftp://toto:titi@monftp.net

exemple :
ftp://ftp.mayn.de/pub/really_old_stuff/INDEX.html

#6

Petite mise en garde : dans tous les cas partager le même mot de passe entre tous les utilisateurs est une mauvaise pratique de sécurité.

  • Déjà, un secret, c’est individuel, sinon ça n’est pas vraiment un secret :wink:
  • Avec un mot de passe unique pour tout le monde, quand tu vas le changer il faut que tout le monde soit au courant.
  • Si tu veux enlever ta confiance à quelqu’un, tu ne peux pas le bloquer, tu es obligé de changer le mot de passe pour tout le monde (=> cf. supra).

Si tu choisis quand même cette voie, alors je te conseille d’aller au plus simple et de faire quand même un .htaccess avec un login commun à tous les utilisateurs. Tu peux éviter d’avoir la popup navigateur pour la saisie du login/mot de passe en faisant une redirection à l’aide d’un morceau de code Javascript, et avec le mécanisme standard appelé “basic auth”. Il y a un exemple ici :

https://www.webdeveloper.com/forum/d/80860-htaccess-htpasswd-making-a-login-form-screen/4

Mais là encore, mise en garde : si tu es en HTTP non sécurisé (càd pas en HTTPS), le login/mot de passe vont transiter en clair sur le réseau ; et même en HTTPS c’est relativement peu sécurisé. Ce genre de solution n’a d’intérêt que pour empêcher des robots d’aller récupérer automatiquement des infos sur ton site. Pas pour véritablement le protéger.

Après, et sans vouloir te vexer, si tu ne t’y connais pas plus que ça en développement, en sécurité, et en réseau, je te déconseille de faire des choses plus compliquées. Si ce niveau de sécurité ne te suffit pas, n’essaie pas de faire les choses toi-même. Tourne toi vers un hébergeur où la sécurité aura été codée par des gens qui savent ce qu’ils font. Tu pourras fournir le HTML/CSS, et laisser l’hébergeur gérer la partie technique.

#7

Merci pour les précisions :slight_smile: C’est un site pour un événement familial qui contiendrait quelques infos (date/lieu/comment venir/quelques photos) mais rien de très sensible. L’idée est d’empêcher le péquin moyen qui tomberait par hasard dessus d’avoir accès à ces infos, donc si je me débrouille pour stocker le hash du mdp et la page html dans un endroit inacessible (cf ce comment sur SO), pour moi ça me suffit.

#8

Je comprends, j’avais fait ça pour mon mariage avec les n° de tél, le lieu etc. je ne voulais pas être référencé.

Solution ultra-simple : au lieu d’avoir une URL en http://monsite.fr tu mets une URL en http://monsite.fr/unsecret : aucun robot ne pourra référencer cette page si elle n’a pas de lien qui pointe dessus, et seules les personnes ayant le lien peuvent tomber dessus.

Edit : Par contre avec cette solution, il faut éviter de balancer ton lien sur un site publique, sinon tu reviens à la case 0 puisqu’un robot pourra parcourir ce lien.

#9

T’es sur que si ca finit pas dans un mail gmail, ca va pas essayé de se faire parser a un moment ?

#10

Peut-être par les moteurs internes Google pour te montrer de la pub. Mais pas pour référencer le site (d’ailleurs pour référencer un site qui n’a rien qui pointe dessus il y a une interface spéciale de Google).

Edit : c’est ici pour référencer un site qui n’a aucun autre site existant qui pointe dessus (ou pour accélérer le référencement du contenu d’un nouveau site) :

https://www.google.com/webmasters/tools/submit-url

#11

Mouais, alors vouloir faire ça soi-même, si c’est pas pour le plaisir de bidouiller, c’est un peu un appel au hack.