.htaccess

Les fichiers .htaccess sont des fichiers de configuration des serveurs web Apache. Ils peuvent être placés dans n'importe quel répertoire du site web (la configuration s'applique au répertoire et à tous ceux qu'il contient n'ayant pas de tel fichier à l'intérieur). Ils peuvent être modifiés alors même que le serveur est en cours d'exécution.

Ils servent à modifier les droits d'accès, créer des redirections, écrire des messages d'erreur personnalisés ou associer les extensions de fichier à des types MIME.

Sécurité et restrictions

Les fichiers .htaccess permettent à un utilisateur autorisé à déposer des fichiers dans un répertoire du serveur de surcharger au vol la configuration de celui-ci. L'administrateur d'un serveur Apache restreint donc en général l'utilisation des fichiers .htaccess à quelques directives particulières grâce à la directive AllowOverride.

L'utilisation des fichiers .htaccess a un coût en matière de performances car le serveur web doit vérifier la présence d'un tel fichier avant de traiter chaque requête.

Attention lors de l'utilisation de <Limit GET>...</Limit> qui comporte une faille possible avec Apache : les requêtes inconnues ne sont pas stoppées par <Limit GET>, et sont ensuite automatiquement transformées en GET. La page est donc envoyée quand même (source pour plus d'informations).

URL Rewriting

Les fichiers .htaccess permettent également de réécrire les URL afin de les simplifier. Par exemple, une URL du type :

http://www.example.com/viewtopic.php?order=0&start=1256&message=50

peut être transformée en :

http://www.example.com/topic-1256-50.html

On suppose ici que la valeur 'order' est à 0 par défaut. Le .htaccess contiendra :

RewriteEngine on
RewriteRule ^topic-([0-9]+)-([0-9]+)\.html$ viewtopic.php?order=0&start=$1&message=$2 [L]

Le module d’URL Rewriting facilite le référencement sur les moteurs de recherche. Il n'est cependant pas activé chez tous les hébergeurs, en particulier les gratuits.

La sécurisation d'un répertoire ou d'un fichier par mot de passe

L'une des principales utilités du fichier .htaccess est de sécuriser une partie d'un site. Pour cela, on place dans le répertoire à protéger un fichier .htaccess avec le contenu suivant:

AuthUserFile /var/www/.htpasswd
AuthGroupFile /var/www/.htgroup
AuthName "Visiteur, vous pénétrez dans une section réservée aux membres, veuillez vous identifier"
AuthType Basic
<Limit GET>
require group Membres Admin
</Limit>
<LimitExcept GET>
deny from all
</LimitExcept>

Les couples utilisateur / empreinte du mot de passe sont stockés dans le fichier .htpasswd de la façon suivante:

jacques:$apr1$TVFhC/..$rRph2WN9n1DeW6Cs89So2.
franck:$apr1$vAVyg…$HXoAN3bh.Ff6hxXKopIFpE1
robert:$apr1$7ALHn/..$aV8IuW3jqdQWaStyX2Izg.
laurent:$apr1$2o89Z/..$SVDHl7FK4A0w8le.cq1Z1

La majorité des hébergeurs proposent un outil permettant de calculer l'empreinte d'un mot de passe (pour éviter de le stocker en clair). Le programme htpasswd fourni avec le serveur Apache permet également de le faire.

Les groupes d'utilisateurs sont définis dans le fichier .htgroup de la façon suivante:

Membres:robert laurent franck
Admin:jacques franck

L'authentification "Basic" est toujours disponible chez tous les hébergeurs. Il existe d'autres types d'authentification beaucoup plus sûrs, utilisés notamment en matière de sécurité bancaire ou pour la lecture des cartes d'identités électroniques, mais ces authentifications nécessitent des modules spécifiques.

La gestion des pages d'erreurs

Apache fournit une page générique affichant une erreur (avec son code défini dans la RFC) lorsqu'une ressource ne peut être accédée directement. Il est possible de créer une page d'erreur personnalisée (ici la page erreur.html à la racine du site) et de la mentionner dans le fichier .htaccess de la manière qui suit :

ErrorDocument 401 /erreur.html
ErrorDocument 403 /erreur.html
ErrorDocument 404 /erreur.html
ErrorDocument 414 /erreur.html

La redirection des erreurs est toujours disponible quel que soit l'hébergeur.

Créer un fichier .htaccess sous Windows

Les systèmes d'exploitation Windows ne permettent pas de renommer un fichier en .htaccess sauf si vous affichez les extensions via option des dossiers via l'environnement de bureau. Pour créer un fichier .htaccess, il faut créer un nouveau fichier à l'aide d'un éditeur de texte et sélectionner Enregistrer sous… dans le menu Fichier. Dans la fenêtre de sauvegarde, il faut entrer ".htaccess" (sans oublier de choisir l'option tous les fichiers au lieu de "Fichiers texte (*.txt)" pour que l’éditeur ne rajoute pas l'extension '.txt'; une méthode plus facile c'est mettre le nom entre guillemets) puis cliquer sur Enregistrer.

Il est également possible d'utiliser un éditeur de texte avancé comme Notepad++ qui permet un enregistrement naturel de ces fichiers, ou alors, de créer un fichier txt.htaccess qui sera ensuite renommé sur le serveur, ou encore de créer un fichier texte appelé htaccess.txt par exemple, puis de le renommer en tapant en ligne de commande sous windows (cmd.exe) : rename htaccess.txt .htaccess.

Pour les utilisateurs de solutions WAMP, et avec l'ajout d'un serveur FTP comme FileZilla par exemple, il est également possible de se servir d'un client FTP. Il suffit d'enregistrer le fichier sous format .txt puis de se connecter via FTP pour remplacer htaccess.txt par .htaccess.

Une autre façon de créer un .htaccess avec la ligne de commande : echo >.htaccess

Liens externes

• (en) Documentation officielle Apache
• (en) Documentation officielle Apache de la réécriture des URL (mod_rewrite)
• (en) Documentation officielle Apache de l'authentification par .htaccess
• (fr) Un générateur de fichier htaccess en ligne

• Portail de l’informatique