Cron di Altervista: Aggiungere HTTP Authentication (login htaccess)

**darkwolf** · 27-11-2011, 16.38.11

Volevo sfruttare i comodi cron per ipb tramite la gestione cron offerta da AV ma ho la directory admin protetta da htaccess e quindi ciccia...
Il cron - ovviamente - non è autorizzato a lanciare lo script lì presente.

Ho letto dell'HTTP authentication with PHP e suppongo non sia poi così impensabile un'eventuale inclusione nel Cron offerto da Altervista :)

Allo staff: ci sono speranze di usare il cron anche per chi, come me, usa htaccess per proteggersi ulteriormente?

**miki92** · 27-11-2011, 18.26.06

Forse sarò io che ho capito male ma autenticarsi via HTTP con PHP è possibile utilizzando questo script:

Codice PHP:


$ch = curl_init($url);
curl_setopt($ch,CURLOPT_HEADER,0);
//curl_setopt($ch,CURLOPT_BINARYTRANSFER,1);
curl_setopt($ch,CURLOPT_USERAGENT,$_SERVER['HTTP_USER_AGENT']);
curl_setopt($ch,CURLOPT_USERPWD,"USERNAME:PASSWORD");
curl_setopt($ch,CURLOPT_FOLLOWLOCATION,1);
curl_setopt($ch,CURLOPT_UNRESTRICTED_AUTH,1);
curl_exec($ch);
curl_close($ch);

Lo usai qualche mese fa per connettermi da un provider esterno ad una directory di altervista protetta con .htaccess e funzionava senza problemi.

Non so se ora è ancora così ma non penso sia stato modificato nulla.

**darkwolf** · 27-11-2011, 20.00.58

Ok ma... non essendo Gianluca o saitfainder o chi per lui, beh... Come lo integro nel pannello Cron di AV? :D

**karl94** · 27-11-2011, 20.20.41

Credo che Miki92 intendesse che puoi aggirare il problema facendo richiamare tramite Chron uno script PHP che richiamasse a sua volta il secondo script, accollando il problema dell'autenticazione al primo script e non a Chron.

**darkwolf** · 27-11-2011, 20.23.34

Mmmm... non ci avevo pensato - anche se rimane il fatto che preferirei fosse inaccessibile (rimanendo protetto all'interno della cartella admin).
-
Vedrò di abbozzare qualcosa (anche se l'integrazione da parte di AV semplificherebbe il tutto) :)

**miki92** · 27-11-2011, 21.26.03

Il mio script supera l'autenticazione HTTP dopodichè, come è stato detto, tocca a te dirgli successivamente cosa fare.

Io lo utilizzo attualmente per entrare in un server aziendale, scaricare grande quantità di dati ed eseguire operazioni molto delicate che dovrebbe eseguire una persona manualmente a diversi orari del giorno.

Se io sono riuscito in questo credo che tu possa riuscire nel tuo intento

**darkwolf** · 27-11-2011, 21.40.03

Si, ok, posso risolvere con questo: http://www.darkwolf.it/script/cron.php

Codice PHP:


<?php
 $ch=curl_init();
 curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');
 curl_setopt($ch, CURLOPT_USERPWD, "test:prova");
 curl_exec($ch);
 curl_close($ch);
?>

./test/index.php

ciao :)

Ma rimane il punto che de c'è in chiaro la password nel cron.php e che l'url è potenzialmente rintracciabile (questo si può risolvere con una qualche bella query string nell'url per proteggerne l'esecuzione).

Tuttavia, ripeto, un'implementazione nel pannello di AV farebbe molto comodo

**karl94** · 27-11-2011, 22.11.24

Originalmente inviato da darkwolf

Ma rimane il punto che de c'è in chiaro la password nel cron.php e che l'url è potenzialmente rintracciabile (questo si può risolvere con una qualche bella query string nell'url per proteggerne l'esecuzione).

Potresti passare la password stessa nella query string, così risolvi entrambi i problemi.

**darkwolf** · 27-11-2011, 22.32.05

E mi pare pure una cosa buona :)
Allora, dato che "test:prova" equivalgono a: test:ycDWJlk0ZH/P2

Come faccio a passare un qualcosa che non sia "prova" nell'url ma magari uno sha1 e far si che venga riconosciuto senza rotture? :P

Cioè >
sha1('prova'): 6279886fde090b3038f267098bcca771a6efa946

Quindi:
http://www.darkwolf.it/script/cron2....cca771a6efa946

Codice PHP:


<?php
if($_GET["pwd"] == "6279886fde090b3038f267098bcca771a6efa946") {

 $ch=curl_init();
 curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');
 curl_setopt($ch, CURLOPT_USERPWD, "test:***"); // e qui che ci piazziamo? :P
 curl_exec($ch);
 curl_close($ch);
}
else {
 die('Accesso negato');
}
?>

Cioè, so che sha1 e md5 sono irreversibili ma possiamo usare un qualcosa di sufficientemente valido per questo caso? :)

Edit: provo con questo: http://forum.it.altervista.org/php-m...tml#post704989

**karl94** · 27-11-2011, 22.46.17

Io pensavo più semplicemente:

Codice PHP:


<?php

 $ch=curl_init();

 curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');

 curl_setopt($ch, CURLOPT_USERPWD, 'test:'.$_GET['password']);

 curl_exec($ch);

 curl_close($ch);

?>

Originalmente inviato da darkwolf

Allora, dato che "test:prova" equivalgono a: test:ycDWJlk0ZH/P2

Perché? Non comprendo questo passaggio.

**darkwolf** · 27-11-2011, 22.50.09

Quello era l'equivalente sull'htaccess (la password "prova" criptata).
Il punto è che vorrei evitare di passare la password in chiaro (come necessario nel tuo esempio) e quindi sto provando a rigirare il tutto a mcrypt ma fa password troppo brevi... vedo se c'è qualcosa per renderla un po' più seria :P
-
Edit: mi faccio un semplice base64 della password che spezzo (parte nell'url e parte nello script).
Per ottenerla in chiaro bisognerebbe avere sia l'url che il parziale dentro lo script e lo ritengo tanto improbabilissimo :P

Discussione: Cron di Altervista: Aggiungere HTTP Authentication (login htaccess)

LinkBack

Strumenti discussione

Display

Cron di Altervista: Aggiungere HTTP Authentication (login htaccess)

Regole di scrittura