Serveur Apache HTTP Version 2.4
Serveur Apache HTTP Version 2.4
| Description: | Authentification � l'aide d'un formulaire |
|---|---|
| Statut: | Base |
| Identificateur�de�Module: | auth_form_module |
| Fichier�Source: | mod_auth_form.c |
| Compatibilit�: | Disponible � partir d'Apache 2.3 |
L'authentification � base de formulaire d�pend des modules
mod_session qui utilisent les cookies HTTP, et en
tant que tels s'exposent � des attaques de type Cross Site
Scripting, ou risquent de divulguer des informations � caract�re
priv� aux clients. Assurez-vous que ces risques ont bien �t� pris
en compte avant d'activer les sessions sur votre serveur.
Ce module permet de restreindre les acc�s, au moyen d'un formulaire de connexion HTML, en recherchant les utilisateurs aupr�s des fournisseurs sp�cifi�s. Les formulaires HTML requi�rent davantage de configuration que les m�thodes d'authentification alternatives, mais ils peuvent s'av�rer beaucoup plus conviviaux pour les utilisateurs.
L'authentification HTTP de base est fournie par le module
mod_auth_basic, et l'authentification HTTP � base
de condens� par le module mod_auth_digest. Le
module mod_auth_form doit �tre utilis� avec au
moins un module d'authentification du style
mod_authn_file et un module d'autorisation comme
mod_authz_user.
Lorsque l'utilisateur a �t� authentifi� avec succ�s, ses
informations de connexion sont stock�s dans une session fournie par
le module mod_session.
AuthFormAuthoritative AuthFormBody AuthFormDisableNoStore AuthFormFakeBasicAuth AuthFormLocation AuthFormLoginRequiredLocation AuthFormLoginSuccessLocation AuthFormLogoutLocation AuthFormMethod AuthFormMimetype AuthFormPassword AuthFormProvider AuthFormSitePassphrase AuthFormSize AuthFormUsername Configuration de base Page de connexion d�di�e Connexion � la vol�e Connexion � la vol�e avec
conservation du contenu D�connexion Noms d'utilisateurs et mots de
passe
Pour prot�ger une URL particuli�re avec le module
mod_auth_form, vous devez d�terminer l'endroit o�
vous allez stocker votre session, ainsi que la m�thode
d'authentification. Dans cet exemple simple, les informations de
connexion sont stock�es dans une session � l'aide du module
mod_session_cookie, et l'authentification utilise
un fichier en s'appuyant sur le module
mod_authn_file. Si l'authentification �choue,
l'utilisateur sera redirig� vers la page du formulaire de
connexion.
AuthFormProvider file AuthUserFile conf/passwd AuthType form AuthName realm AuthFormLoginRequiredLocation http://example.com/login.html Session On SessionCookieName session path=/ SessionCryptoPassphrase secret
L'authentification mod_auth_form est activ�e
en affectant la valeur form � la directive AuthType. Les directives
AuthFormProvider et
AuthUserFile
sp�cifient que les noms d'utilisateurs et mots de passe seront
v�rifi�s en utilisant le fichier choisi.
Les directives Session, SessionCookieName et
SessionCryptoPassphrase
cr�ent une session chiffr�e stock�e dans un cookie HTTP au niveau
du navigateur. Pour plus d'informations � propos des diff�rentes
options de configuration des sessions, reportez-vous � la
documentation du module mod_session.
Dans l'exemple simple ci-dessus, une URL a �t� prot�g�e par
mod_auth_form, mais on doit maintenant fournir
� l'utilisateur un moyen de saisir un nom et un mot de passe. � cet
effet, on peut soit �crire une page de connexion ind�pendante
d�di�e, soit inclure le formulaire de connexion dans la page
courante.
Le formulaire de connexion peut �tre contenu dans une page ind�pendante, ou �tre inclus dans la page courante.
Lorsque la connexion s'effectue � partir d'une page
ind�pendante et si la tentative d'authentification �choue,
l'utilisateur doit �tre redirig� vers un formulaire de connexion,
cr�� � cet effet sur le site web, en utilisant la directive
AuthFormLoginRequiredLocation.
En g�n�ral, la page de connexion contiendra un formulaire HTML
demandant � l'utilisateur de fournir un nom et un mot de passe.
<form method="POST" action="/dologin.html"> Username: <input type="text" name="httpd_username" value="" /> Password: <input type="password" name="httpd_password" value="" /> <input type="submit" name="login" value="Login" /> </form>
La partie o� s'effectue la connexion proprement dite est trait�e par le gestionnaire form-login-handler. L'action de ce formulaire doit pointer vers ce gestionnaire, ce que l'on configure dans Apache httpd comme suit :
<Location /dologin.html>
SetHandler form-login-handler
AuthFormLoginRequiredLocation http://example.com/login.html
AuthFormLoginSuccessLocation http://example.com/success.html
AuthFormProvider file
AuthUserFile conf/passwd
AuthType form
AuthName realm
Session On
SessionCookieName session path=/
SessionCryptoPassphrase secret
</Location>
L'URL sp�cifi�e par la directive AuthFormLoginRequiredLocation
r�f�rencera en g�n�ral une page expliquant � l'utilisateur que sa
tentative de connexion a �chou�, et qu'il doit la renouveler. La
directive AuthFormLoginSuccessLocation
sp�cifie l'URL vers laquelle l'utilisateur doit �tre redirig� s'il
s'est authentifi� avec succ�s.
Alternativement, l'URL vers laquelle doit �tre redirig� l'utilisateur s'il s'est authentifi� avec succ�s peut �tre int�gr�e dans le formulaire de connexion, comme dans l'exemple ci-dessous. Il en d�coule que le m�me gestionnaire form-login-handler pourra �tre utilis� pour diff�rentes zones du site web.
<form method="POST" action="/dologin.html"> Username: <input type="text" name="httpd_username" value="" /> Password: <input type="password" name="httpd_password" value="" /> <input type="submit" name="login" value="Login" /> <input type="hidden" name="httpd_location" value="http://example.com/success.html" /> </form>
Il existe un risque, dans certaines circonstances, que le formulaire de connexion configur� pour une connexion � la vol�e soit soumis plusieurs fois, r�v�lant de ce fait les param�tres de connexion � l'application sous-jacente. L'administrateur doit s'assurer que cette derni�re est correctement s�curis�e afin d'�viter les �ventuels abus. En cas de doute, utilisez une page de connexion ind�pendante d�di�e.
Comme alternative � la page de connexion d�di�e pour un site
web, il est possible de configurer mod_auth_form
pour authentifier les utilisateurs � la vol�e, sans les rediriger
vers une autre page, ce qui permet de conserver l'�tat de la page
courante au cours de la tentative de connexion. Ceci peut s'av�rer
utile dans le cas d'une session limit�e dans le temps, si le d�lai
de la session a expir� pendant la requ�te de l'utilisateur. Ce
dernier peut alors se r�authentifier � la m�me place, et
poursuivre son activit� � partir du point o� il en �tait rest�.
Si un utilisateur non authentifi� tente d'acc�der � une page
prot�g�e par mod_auth_form, et si ce dernier
n'est pas configur� avec une directive AuthFormLoginRequiredLocation,
un code de statut HTTP_UNAUTHORIZED est renvoy� vers le
navigateur, indiquant � l'utilisateur qu'il n'est pas autoris� �
acc�der � cette page.
Pour configurer l'authentification � la vol�e, l'administrateur remplace le message d'erreur renvoy� par le code de statut HTTP_UNAUTHORIZED par un message d'erreur personnalis� contenant le formulaire de connexion comme suit :
AuthFormProvider file ErrorDocument 401 /login.shtml AuthUserFile conf/passwd AuthType form AuthName realm AuthFormLoginRequiredLocation http://example.com/login.html Session On SessionCookieName session path=/ SessionCryptoPassphrase secret
La page du message d'erreur doit contenir un formulaire de connexion dont la propri�t� action est vide, comme dans l'exemple ci-dessous. Ceci a pour effet de soumettre le formulaire � l'URL prot�g�e originale, cette derni�re n'ayant pas besoin d'�tre connue de la page en cours.
<form method="POST" action=""> Username: <input type="text" name="httpd_username" value="" /> Password: <input type="password" name="httpd_password" value="" /> <input type="submit" name="login" value="Login" /> </form>
Lorsque l'utilisateur final a entr� ses informations de
connexion, le formulaire effectue une requ�te HTTP POST pour l'URL
originale prot�g�e par mot de passe.
mod_auth_form va alors intercepter cette requ�te
POST, et dans le cas o� des champs HTML Utilisateur et Mot de
passe corrects sont pr�sents, l'utilisateur sera connect�, et
l'URL originale prot�g�e par mot de passe lui sera retourn�e en
tant que requ�te GET.
Il existe une limite � la technique de connexion � la vol�e d�crite ci-dessus ; si un formulaire HTML POST entra�ne une demande d'authentification ou de r�authentification, le contenu du formulaire original envoy� par le navigateur sera perdu. Cela peut s'av�rer plus ou moins g�nant pour l'utilisateur final selon la fonction du site web.
Comme solution � ce probl�me, mod_auth_form
permet d'int�grer la m�thode et le contenu de la requ�te originale
dans le formulaire de connexion. Si l'authentification r�ussit,
Apache httpd pourra refaire une tentative avec la m�thode et le contenu
originaux, tout en conservant l'�tat de la requ�te originale.
Pour mettre en oeuvre la conservation du contenu, vous devez ajouter trois champs suppl�mentaires au formulaire de connexion comme dans l'exemple suivant :
<form method="POST" action=""> Username: <input type="text" name="httpd_username" value="" /> Password: <input type="password" name="httpd_password" value="" /> <input type="submit" name="login" value="Login" />
<input type="hidden" name="httpd_method" value="POST" /> <input type="hidden" name="httpd_mimetype" value="application/x-www-form-urlencoded" /> <input type="hidden" name="httpd_body" value="name1=value1&name2=value2" />
</form>
La mani�re dont la m�thode, le type MIME et le contenu de la requ�te originale seront int�gr�s dans le formulaire de connexion vont d�pendre de la plate-forme et de la technologie utilis�es au sein du site web.
Une option consiste � utiliser le module
mod_include en association avec la directive
KeptBodySize, ainsi
qu'un script CGI adapt� pour int�grer les variables dans le
formulaire.
Une autre option consiste � pr�senter le formulaire de connexion en utilisant un script CGI ou une autre technologie dynamique.
AuthFormProvider file
ErrorDocument 401 /cgi-bin/login.cgi
...
Pour permettre � un utilisateur de se d�connecter d'une session particuli�re, vous devez configurer une page pour qu'elle soit trait�e par le gestionnaire form-logout-handler. Tout acc�s � cette URL va entra�ner la suppression de l'Utilisateur et du Mot de passe de la session courante, ce qui aura pour effet de d�connecter l'utilisateur.
Vous pouvez sp�cifier une URL vers laquelle le navigateur sera
redirig� en cas de d�connection r�ussie, en d�finissant la
directive AuthFormLogoutLocation. Cette
URL devra expliquer � l'utilisateur qu'il a �t� d�connect�, et lui
donner la possibilit� de se connecter � nouveau.
SetHandler form-logout-handler AuthName realm AuthFormLogoutLocation http://example.com/loggedout.html Session On SessionCookieName session path=/ SessionCryptoPassphrase secret
Notez que la d�connexion d'un utilisateur ne supprime pas la
session ; elle supprime seulement l'Utilisateur et le mot de passe
de la session. Si la session qui en r�sulte est vide, elle sera
probablement supprim�e, mais ce n'est pas garanti. Si vous voulez
�tre s�r que la session sera supprim�e, affectez une petite valeur
� la directive SessionMaxAge, par exemple 1
(affecter � cette directive la valeur z�ro signifie une session
sans limite d'�ge).
SetHandler form-logout-handler AuthFormLogoutLocation http://example.com/loggedout.html Session On SessionMaxAge 1 SessionCookieName session path=/ SessionCryptoPassphrase secret
Notez que la soumission d'un formulaire implique l'encodage URL (URLEncoding) des donn�es du formulaire, ici le nom d'utilisateur et le mot de passe. Vous devez donc choisir des noms d'utilisateurs et mots de passe qui ne contiennent pas de caract�res susceptibles d'�tre encod�s URL lors de la soumission du formulaire, sous peine d'obtenir des r�sultats inattendus.
| Description: | D�termine si l'autorisation et l'authentification sont confi�s � des modules de plus bas niveau |
|---|---|
| Syntaxe: | AuthFormAuthoritative On|Off |
| D�faut: | AuthFormAuthoritative On |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_form |
Normalement, chacun des modules d'autorisation sp�cifi�s par la
directive AuthFormProvider va tenter de
v�rifier l'identit� de l'utilisateur, et si ce dernier n'est trouv�
dans aucun fournisseur, l'acc�s sera refus�. En d�finissant
explicitement la directive
AuthFormAuthoritative � Off on
confie les processus d'authentification et d'autorisation � des
modules ne s'appuyant pas sur des fournisseurs, si aucun
identifiant utilisateur ou aucune r�gle ne
correspond � l'identifiant utilisateur fourni. Ceci ne peut s'av�rer
n�cessaire que si l'on combine mod_auth_form avec
des modules tiers qui ne se configurent pas avec la directive
AuthFormProvider.
Lorsqu'on utilise de tels modules, la chronologie du processus est
d�termin�e dans leur code source, et n'est pas configurable.
| Description: | Le nom du champ de formulaire contenant le corps de la requ�te � effectuer en cas de connexion r�ussie |
|---|---|
| Syntaxe: | AuthFormBody nom du champ |
| D�faut: | httpd_body |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormBody permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra le corps
de la requ�te � effectuer en cas de connexion r�ussie.
En ajoutant au formulaire les champs d�crits dans AuthFormMethod, AuthFormMimetype et AuthFormBody, un site web sera en
mesure de relancer une requ�te qui a �t� �ventuellement interrompue
par l'�cran de connexion, ou par l'expiration d'un d�lai de
session.
| Description: | D�sactive l'en-t�te CacheControl no-store sur la page de connexion |
|---|---|
| Syntaxe: | AuthFormDisableNoStore On|Off |
| D�faut: | AuthFormDisableNoStore Off |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
Le drapeau AuthFormDisableNoStore supprime
l'envoi d'un en-t�te Cache-Control no-store lorsqu'une
page avec code d'erreur 401 est renvoy�e si l'utilisateur n'est pas
encore connect�. Avec cet en-t�te, il est plus difficile pour une
application ecmascript de resoumettre un formulaire de connexion, et
ainsi r�v�ler le nom d'utilisateur et le mot de passe �
l'application sous-jacente. Vous devez �tre conscient des risques
encourus si vous le d�sactivez.
| Description: | Simule un en-t�te d'authentification de base |
|---|---|
| Syntaxe: | AuthFormFakeBasicAuth On|Off |
| D�faut: | AuthFormFakeBasicAuth Off |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
Le drapeau AuthFormFakeBasicAuth permet de
d�terminer si un en-t�te d'Authentification de base
sera ajout� aux en-t�tes de la requ�te. On peut utiliser cette
m�thode pour pr�senter le nom d'utilisateur et le mot de passe �
l'application sous-jacente, sans que cette derni�re ait besoin de
conna�tre la mani�re dont le processus de connexion a �t� men� �
bien.
| Description: | Le nom du champ de formulaire qui contiendra l'URL vers laquelle l'utilisateur sera redirig� en cas de connexion r�ussie |
|---|---|
| Syntaxe: | AuthFormLocation nom du champ |
| D�faut: | httpd_location |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormLocation permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra l'URL
vers laquelle rediriger le navigateur en cas de connexion
r�ussie.
| Description: | L'URL de la page vers laquelle on doit �tre redirig� si une authentification est requise |
|---|---|
| Syntaxe: | AuthFormLoginRequiredLocation url |
| D�faut: | none |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interpr�teur d'expressions a �t� ajout� � partir de la version 2.4.4. |
La directive AuthFormLoginRequiredLocation
permet de sp�cifier l'URL vers laquelle l'utilisateur devra �tre
redirig� s'il n'est pas autoris� �
acc�der � une page. L'argument pass� � cette directive
est lu au moyen de l'analyseur lexical ap_expr avant d'�tre
envoy� au client. Par d�faut,
si un utilisateur n'est pas autoris� � acc�der � une page, le code
de r�ponse HTTP HTTP_UNAUTHORIZED est renvoy� avec la
page sp�cifi�e par la directive ErrorDocument. La directive AuthFormLoginRequiredLocation
permet de remplacer cette valeur par d�faut.
Vous pouvez utiliser cette directive si vous voulez pr�senter une page de connexion personnalis�e � vos utilisateurs.
| Description: | L'URL de la page vers laquelle on doit �tre redirig� en cas de connexion r�ussie |
|---|---|
| Syntaxe: | AuthFormLoginSuccessLocation url |
| D�faut: | none |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interpr�teur d'expressions a �t� ajout� � partir de la version 2.4.4. |
La directive AuthFormLoginSuccessLocation
permet de sp�cifier l'URL vers laquelle l'utilisateur doit �tre
redirig� en cas de connexion r�ussie. L'argument pass� � cette directive
est lu au moyen de l'analyseur lexical ap_expr avant d'�tre
envoy� au client. L'effet de cette directive
peut �tre annul� si l'on a d�fini un champ de formulaire contenant
une autre URL � l'aide de la directive AuthFormLocation.
Vous pouvez utiliser cette directive si vous poss�dez une URL de connexion personnalis�e, et si vous n'avez pas int�gr� la page de destination dans le formulaire de connexion.
| Description: | L'URL vers laquelle un utilisateur devra �tre redirig� apr�s s'�tre d�connect� |
|---|---|
| Syntaxe: | AuthFormLogoutLocation uri |
| D�faut: | none |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache. L'interpr�teur d'expressions a �t� ajout� � partir de la version 2.4.4. |
La directive AuthFormLogoutLocation permet de
sp�cifier l'URL de la page du serveur vers laquelle l'utilisateur
devra �tre redirig� s'il se d�connecte.
L'argument pass� � cette directive
est lu au moyen de l'analyseur lexical ap_expr avant d'�tre
envoy� au client.
Lorsqu'un acc�s est tent� sur un URI trait� par le gestionnaire
form-logout-handler, la page sp�cifi�e par cette
directive sera pr�sent�e � l'utilisateur final. Par exemple :
<Location /logout>
SetHandler form-logout-handler
AuthFormLogoutLocation http://example.com/loggedout.html
Session on
#...
</Location>
Si un utilisateur tente d'acc�der � l'URI /logout/, il sera d�connect�, et la page /loggedout.html lui sera pr�sent�e. Assurez-vous que la page loggedout.html n'est pas prot�g�e par mot de passe, car dans le cas contraire, elle ne serait pas affich�e.
| Description: | Le nom du champ de formulaire contenant la m�thode de la requ�te � effectuer en cas de connexion r�ussie |
|---|---|
| Syntaxe: | AuthFormMethod nom du champ |
| D�faut: | httpd_method |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormMethod permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra le type
MIME de la requ�te � effectuer en cas de connexion r�ussie.
En ajoutant au formulaire les champs d�crits dans AuthFormMethod, AuthFormMimetype et AuthFormBody, un site web sera en
mesure de relancer une requ�te qui a �t� �ventuellement interrompue
par l'�cran de connexion, ou par l'expiration d'un d�lai de
session.
| Description: | Le nom du champ de formulaire contenant le type MIME du corps de la requ�te � effectuer en cas de connexion r�ussie |
|---|---|
| Syntaxe: | AuthFormMimetype nom du champ |
| D�faut: | httpd_mimetype |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormMimetype permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra le type
MIME de la requ�te � effectuer en cas de connexion r�ussie.
En ajoutant au formulaire les champs d�crits dans AuthFormMethod, AuthFormMimetype et AuthFormBody, un site web sera en
mesure de relancer une requ�te qui a �t� �ventuellement interrompue
par l'�cran de connexion, ou par l'expiration d'un d�lai de
session.
| Description: | Le nom du champ de formulaire qui contient le mot de passe de connexion |
|---|---|
| Syntaxe: | AuthFormPassword nom du champ |
| D�faut: | httpd_password |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormPassword permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra le mot
de passe qui sera utilis� pour la connexion.
| Description: | D�finit le(s) fournisseur(s) d'authentification pour la zone concern�e |
|---|---|
| Syntaxe: | AuthFormProvider nom fournisseur
[nom fournisseur] ... |
| D�faut: | AuthFormProvider file |
| Contexte: | r�pertoire, .htaccess |
| AllowOverride: | AuthConfig |
| Statut: | Base |
| Module: | mod_auth_form |
La directive AuthFormProvider permet de
d�finir quel fournisseur sera utilis� pour authentifier les
utilisateurs pour la zone concern�e. Le fournisseur par d�faut
file est impl�ment� par le module
mod_authn_file. Assurez-vous que le fournisseur
choisi soit bien pr�sent dans le serveur.
<Location /secure>
AuthType form
AuthName "private area"
AuthFormProvider dbm
AuthDBMType SDBM
AuthDBMUserFile /www/etc/dbmpasswd
Require valid-user
#...
</Location>
Les diff�rents fournisseurs sont impl�ment�s par les modules
mod_authn_dbm, mod_authn_file,
mod_authn_dbd et
mod_authnz_ldap.
| Description: | Court-circuite l'authentification pour les sites � fort trafic |
|---|---|
| Syntaxe: | AuthFormSitePassphrase secret |
| D�faut: | none |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormSitePassphrase permet de
sp�cifier un mot de passe qui, s'il est pr�sent dans la session
utilisateur, indique � Apache httpd de court-circuiter l'authentification
pour l'URL consid�r�e. On peut l'utiliser dans le cas de sites web �
fort trafic afin de r�duire la charge induite sur l'infrastructure
d'authentification.
On peut ins�rer le mot de passe dans une session utilisateur en ajoutant cette directive � la configuration concernant le gestionnaire form-login-handler. Le gestionnaire form-login-handler, quant � lui, effectuera toujours les v�rifications d'authentification, qu'un mot de passe soit sp�cifi� ou non.
Si la session est pr�sent�e � l'utilisateur � l'aide du module
mod_session_cookie, et si la session n'est pas
prot�g�e par le module mod_session_crypto, le mot
de passe peut faire l'objet d'une attaque de type dictionnaire.
Quelle que soit la configuration de la session, assurez-vous que
cette directive n'est pas utilis�e dans un espace d'URLs contenant
des donn�es priv�es, ou � partir desquelles des transactions
sensibles pourraient �tre men�es. En tout �tat de cause, vous
devez �tre conscient des risques encourus avant de l'utiliser.
| Description: | La taille maximale en octets du formulaire dont seront extraites les informations de connexion |
|---|---|
| Syntaxe: | AuthFormSize taille |
| D�faut: | 8192 |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.0 du serveur HTTP Apache |
La directive AuthFormSize permet de sp�cifier
la taille maximale du corps de la requ�te qui sera utilis�e pour
trouver le formulaire de connexion.
Si une requ�te de connexion entrante poss�de une taille
sup�rieure � cette valeur, elle sera rejet�e avec le code de r�ponse
HTTP HTTP_REQUEST_TOO_LARGE.
Si vous avez ajout� au formulaire des champs d�crits dans AuthFormMethod, AuthFormMimetype et AuthFormBody, il est recommand�
de d�finir cette directive � une valeur similaire � celle de la
directive KeptBodySize.
| Description: | Le nom du champ de formulaire qui contient le nom de connexion |
|---|---|
| Syntaxe: | AuthFormUsername nom du champ |
| D�faut: | httpd_username |
| Contexte: | r�pertoire |
| Statut: | Base |
| Module: | mod_auth_form |
| Compatibilit�: | Disponible depuis la version 2.3.3 du serveur HTTP Apache |
La directive AuthFormUsername permet de
sp�cifier le nom du champ HTML qui, s'il existe, contiendra le nom
d'utilisateur qui sera utilis� pour la connexion.