Cron di Altervista: Aggiungere HTTP Authentication (login htaccess)

[darkwolf]

Volevo sfruttare i comodi cron per ipb tramite la gestione cron offerta da AV ma ho la directory admin protetta da htaccess e quindi ciccia...
Il cron - ovviamente - non è autorizzato a lanciare lo script lì presente.

Ho letto dell'HTTP authentication with PHP e suppongo non sia poi così impensabile un'eventuale inclusione nel Cron offerto da Altervista :)

Allo staff: ci sono speranze di usare il cron anche per chi, come me, usa htaccess per proteggersi ulteriormente?

[miki92]

Forse sarò io che ho capito male ma autenticarsi via HTTP con PHP è possibile utilizzando questo script:

Codice PHP:

$ch = curl_init($url);
curl_setopt($ch,CURLOPT_HEADER,0);
//curl_setopt($ch,CURLOPT_BINARYTRANSFER,1);
curl_setopt($ch,CURLOPT_USERAGENT,$_SERVER['HTTP_USER_AGENT']);
curl_setopt($ch,CURLOPT_USERPWD,"USERNAME:PASSWORD");
curl_setopt($ch,CURLOPT_FOLLOWLOCATION,1);
curl_setopt($ch,CURLOPT_UNRESTRICTED_AUTH,1);
curl_exec($ch);
curl_close($ch);


Lo usai qualche mese fa per connettermi da un provider esterno ad una directory di altervista protetta con .htaccess e funzionava senza problemi.

Non so se ora è ancora così ma non penso sia stato modificato nulla.

[darkwolf]

Ok ma... non essendo Gianluca o saitfainder o chi per lui, beh... Come lo integro nel pannello Cron di AV? :D

[karl94]

Credo che Miki92 intendesse che puoi aggirare il problema facendo richiamare tramite Chron uno script PHP che richiamasse a sua volta il secondo script, accollando il problema dell'autenticazione al primo script e non a Chron.

[darkwolf]

Mmmm... non ci avevo pensato - anche se rimane il fatto che preferirei fosse inaccessibile (rimanendo protetto all'interno della cartella admin).
-
Vedrò di abbozzare qualcosa (anche se l'integrazione da parte di AV semplificherebbe il tutto) :)

[miki92]

Il mio script supera l'autenticazione HTTP dopodichè, come è stato detto, tocca a te dirgli successivamente cosa fare.

Io lo utilizzo attualmente per entrare in un server aziendale, scaricare grande quantità di dati ed eseguire operazioni molto delicate che dovrebbe eseguire una persona manualmente a diversi orari del giorno.

Se io sono riuscito in questo credo che tu possa riuscire nel tuo intento

[darkwolf]

Si, ok, posso risolvere con questo: http://www.darkwolf.it/script/cron.php

Codice PHP:

<?php
$ch=curl_init();
curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');
curl_setopt($ch, CURLOPT_USERPWD, "test:prova");
curl_exec($ch);
curl_close($ch);
?>

./test/index.php

ciao :)

Ma rimane il punto che de c'è in chiaro la password nel cron.php e che l'url è potenzialmente rintracciabile (questo si può risolvere con una qualche bella query string nell'url per proteggerne l'esecuzione).

Tuttavia, ripeto, un'implementazione nel pannello di AV farebbe molto comodo

[karl94]

Ma rimane il punto che de c'è in chiaro la password nel cron.php e che l'url è potenzialmente rintracciabile (questo si può risolvere con una qualche bella query string nell'url per proteggerne l'esecuzione).

Potresti passare la password stessa nella query string, così risolvi entrambi i problemi.

[darkwolf]

E mi pare pure una cosa buona :)
Allora, dato che "test:prova" equivalgono a: test:ycDWJlk0ZH/P2

Come faccio a passare un qualcosa che non sia "prova" nell'url ma magari uno sha1 e far si che venga riconosciuto senza rotture? :P

Cioè >
sha1('prova'): 6279886fde090b3038f267098bcca771a6efa946

Quindi:
http://www.darkwolf.it/script/cron2....cca771a6efa946

Codice PHP:

<?php
if($_GET["pwd"] == "6279886fde090b3038f267098bcca771a6efa946") {

$ch=curl_init();
curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');
curl_setopt($ch, CURLOPT_USERPWD, "test:***"); // e qui che ci piazziamo? :P
curl_exec($ch);
curl_close($ch);
}
else {
die('Accesso negato');
}
?>

Cioè, so che sha1 e md5 sono irreversibili ma possiamo usare un qualcosa di sufficientemente valido per questo caso? :)

Edit: provo con questo: http://forum.it.altervista.org/php-m...tml#post704989

[karl94]

Io pensavo più semplicemente:

Codice PHP:

<?php
$ch=curl_init();
curl_setopt($ch,CURLOPT_URL,'http://www.darkwolf.it/test/index.php');
curl_setopt($ch, CURLOPT_USERPWD, 'test:'.$_GET['password']);
curl_exec($ch);
curl_close($ch);
?>

Allora, dato che "test:prova" equivalgono a: test:ycDWJlk0ZH/P2

Perché? Non comprendo questo passaggio.

[darkwolf]

Quello era l'equivalente sull'htaccess (la password "prova" criptata).
Il punto è che vorrei evitare di passare la password in chiaro (come necessario nel tuo esempio) e quindi sto provando a rigirare il tutto a mcrypt ma fa password troppo brevi... vedo se c'è qualcosa per renderla un po' più seria :P
-
Edit: mi faccio un semplice base64 della password che spezzo (parte nell'url e parte nello script).
Per ottenerla in chiaro bisognerebbe avere sia l'url che il parziale dentro lo script e lo ritengo tanto improbabilissimo :P