empêcher de voir la source via error401

[applejuice]

Bonsoir à tous,

Voilà je viens de me rendre compte que lorsqu'on faisait un visionnage du code source de l'erreur 401 (erreur qui remonte suite à une mauvaise identification) on pouvait voir le code de la page justement protégée.

Je m'explique plus en détail :

J'ai créé un site sur lequel j'ai mis un htaccess et un htpasswd dans le dossier /test pour empêcher de voir la page /test/index.htm

Lorsque la personne saisi un mauvais mot de passe la page error401 remonte, cependant l'adresse http://www.monsite.com/test/index.htm apparaît bien dans la barre d'adresse.
Il suffit alors de faire un clic droit sur cette page d'erreur401 pour consulter le code source de la page index.htm.... autrement dit y a pas vraiment de sécurité...

suis-je le seul à avoir remarqué ce bug ? Quelle solution y a t il ?

ps : je remarque ce problème sur firefox.

merci à vous.

 

[daffyb]

pas de soucis chez moi.

 

[applejuice]

en effet.

Mais j'ai l'impression que le problème existe uniquement dans le cas de page d'erreur 401 personnalisée.

 

[grumff]

Une config foireuse j'imagine, le code 401 est envoyé dans l'en-tête, ça n'empêche pas de transmettre une vrai page avec...

 

[molgow]

Je ne connais pas de navigateur qui lance une nouvelle requête HTTP lorsque tu accèdes au code source. Es-tu sûr que tu as bien le code source de ta page protégée ?

 

[applejuice]

Bonjour,

merci pour vos messages.

J'ai tenté de retirer la page d'erreur personnalisée et j'ai le même soucis.

lorsque je fait www.monsite.com/test/ et que je saisi un mauvais login j'ai bien le message

Authorization Required

This server could not verify that you are authorized to access the document requested. Either you supplied the wrong credentials (e.g., bad password), or your browser doesn't understand how to supply the credentials required.
Additionally, a 401 Authorization Required error was encountered while trying to use an ErrorDocument to handle the request.

qui s'affiche. Lorsque je fait clic droit puis afficher la source j'ai bien une nouvelle demande d'identification qui s'affiche et si je mets rien j'ai le même message d'erreur.

Cependant :

Lorsque je tape www.monsite.com/test/index.htm et que je saisi un mauvais login, j'ai bien cette même page d'erreur qui s'affiche, mais lorsque je fais un clic droit puis afficher la source cette fois ci j'ai bien le code source de la page protégée qui s'affiche (celle de index.htm qui est censée être protégée par mot de passe.

c'est vraiment bizarre mon histoire... je sais pas trop si je m'explique bien en plus...