Piwigo.org

viper82 · 2013-03-07 14:08:32

Bonjour,

Je n'ai pas vraiment lu la FAQ, ni chercher dans le forum, veuillez m'en excuser ^^

Sur ma gallerie de photo voici dans quel répertoire sont générées les photos de ma gallerie :

http://monhost.com/_data/i/galleries/20 … 100-xx.jpg

L'accès à un dossier renvoie bien un "Forbidden"

Exemple :

http://monhost.com/_data/i/galleries/2013/ => Forbidden

Cependant l'accès à une image est possible via son url directe... comme la structuration de mes galleries est "logique" car basée sur des noms d'albums et des dates. et sachant que je conserve mes photos avec leur nom d'origine d'appareil photo (DSC_XXXX.jpg), j'imagine qu'il pourrait être assez facile de déduire des noms de fichiers existant.

De ce fait, la sécurité des images me semblent relativement faible avec piwigo (notamment pour ce qui est des photos de famille etc etc)

Y aurait il un plugin qui permettrait de rajouter un hash unique à toutes les photos générées par le système.

De ce fait il deviendrait bcp plus difficile de "deviner" un nom potentiel d'une photo.

à titre d'exemple :

http://monhost.com/_data/i/galleries/20 … 100-xx.jpg
deviendrait
http://monhost.com/_data/i/galleries/20 … 4ef-xx.jpg

mistic100 · 2013-03-07 14:12:39

Bonjour

Piwigo 2.5 ?

si oui il y a ceci dans la note de version : http://fr.piwigo.org/releases/2.5.0#protection

viper82 · 2013-03-07 14:22:47

Oui tout à fait 2.5, je vient de faire la MAJ, et justement, je voulais voir comment se comportait cette configuration.

Cette configuration parle uniquement des photos Originales, c'est à dire celle présente précisément dans les dossiers de galleries.

J'ai donc activé cette fonction + ajouté un DENY FROM ALL dans mon VHOST vers le dossier "galleries".

De ce fait, je ne peux plus accéder directement à rien qui se trouve dans http://monhost.com/galleries/Nimporte/quelle/image.jpg
=> "FORBIDDEN"

Ici je parle des photos qui sont générées par piwigo et qui se trouvent dans le dossier "_data/i/"

Ce point me semble différent de l'objet de la configuration introduite dans piwigo 4.5

Dernière modification par viper82 (2013-03-07 14:23:25)

viper82 · 2013-03-07 14:31:49

Allez, je suis gentil, ce n'est pas un galerie publique donc soyez gentil, mais je vais illustrer mes propos :

Path de l'image selon l'arbo des dossier
http://photos.lucmuller.fr/galleries/20 … C_1441.jpg
=> FORBIDDEN

Accès à un dossier précis :
http://photos.lucmuller.fr/galleries/20 … 1_Laponie/
=> FORBIDDEN

Accès à un dossier de "_data/i"
http://photos.lucmuller.fr/_data/i/gall … ponie/Luc/
=> "Not Allowed"
==> Accessoirement, un FORBIDDEN ici aussi serait sympa.

Accès à une photo précise
http://photos.lucmuller.fr/_data/i/gall … 100-xx.jpg
=> PAF, accès à la photo... (ce qui en l'état est tout à fait normal, pour pouvoir l'afficher dans la galerie)
==> donc, si je suis un malin, je peux avoir accès à minimum à toutes les photos du set, via un changement du nom de fichier et/ou à d'autres albums si j'arrive à en déduire les noms.

Est ce que la nouvelle conf permet d'éviter ça et c'est moi qui l'ait mal configurée ?
Ou est ce que mes propos sont légitimes ?

Dernière modification par viper82 (2013-03-07 14:33:53)

mistic100 · 2013-03-07 14:34:24

exact :)

pour l'instant pas de moyen simple de le faire (et c'est pas envisageable d'ajouter une chaine aléatoire à la fin du nom de fichier)

si vous utilisez l'upload web (ou pLoader ou autre) les noms seraient aléatoires

il y aussi diverses solutions proposées sur le forum international http://piwigo.org/forum/viewtopic.php?id=21511

viper82 · 2013-03-07 15:32:46

mistic100 a écrit:
pour l'instant pas de moyen simple de le faire (et c'est pas envisageable d'ajouter une chaine aléatoire à la fin du nom de fichier)

on n'est pas obligé d'y ajouter une chaine "aléatoire" ça peut être une chaine "hashée".

Exemple :

Dans piwigo on crée une config de "clé secrète"

$conf['PWG_SECRETKEY'] = 'some-random-string';

Le nom de l'image devient alors (en php)

$filename.'-'.md5($conf['PWG_SECRETKEY'].$pathOriGinalDeLaPhoto).'-xx.jpg';

pour générer l'affichage de piwigo, j'imagine qu'il suffirait de reconstruire le nom de l'image de la même manière...

Note : Je n'ai jamais mis les mains dans le core de piwigo, donc je dis peut être des bétises

Dernière modification par viper82 (2013-03-07 15:39:50)

ddtddt · 2013-03-07 15:50:42

viper82 a écrit:
Note : Je n'ai jamais mis les mains dans le core de piwigo, donc je dis peut être des bétises

bin qu'est ce que tu attends :-P

viper82 · 2013-03-07 15:53:58

c'était effectivement la réponse la plus facile à donner ^^

ddtddt · 2013-03-07 16:00:50

viper82 a écrit:
c'était effectivement la réponse la plus facile à donner ^^

Je laisse mistic100 te répondre pour le reste je n'ai que partiellement lu la discussion ;-)

Beaucoup de chose sont réalisable en plugin

Piwigo.org

Annonce

#1 2013-03-07 14:08:32

Anonymisation des photos générées par PWG ?

#2 2013-03-07 14:12:39

Re: Anonymisation des photos générées par PWG ?

#3 2013-03-07 14:22:47

Re: Anonymisation des photos générées par PWG ?

#4 2013-03-07 14:31:49

Re: Anonymisation des photos générées par PWG ?

#5 2013-03-07 14:34:24

Re: Anonymisation des photos générées par PWG ?

#6 2013-03-07 15:32:46

Re: Anonymisation des photos générées par PWG ?

mistic100 a écrit:

#7 2013-03-07 15:50:42

Re: Anonymisation des photos générées par PWG ?

viper82 a écrit:

#8 2013-03-07 15:53:58

Re: Anonymisation des photos générées par PWG ?

#9 2013-03-07 16:00:50

Re: Anonymisation des photos générées par PWG ?

viper82 a écrit:

Pied de page des forums