#1 2011-12-30 11:41:25

Bankette
Membre
Date d'inscription: 2010-08-23
Messages: 3

[Résolu] Protéger l'accès aux images par URL directe

Bonjour tout le monde !

Je possède un piwigo depuis plusieurs années maintenant, je commence à avoir pas mal de contenu et pas mal de groupe d'utilisateurs différents.
Aujourd'hui chaque peut accéder à son contenu et ne voir que les images qui le concerne. En ervanche, si il obtient l'URL dune image auquelle il n'a pas l'accès, il peut tout de même la voir.

Exemple : http://mondomaine.com/upload/2011/04/13/monimage.jpg

Même si cette image est protégé, n'importe qui qui possède cette URL peut y accéder.

J'ai regardé il y a eu deux plugins : secure images et hotBlocker mais qui ne sont malheureusement plus maintenu depuis longtemps et qui ne ofonctionne pas sur l version 2.3 de toute façon...

J'ai donc deux questions :
1. Existe-t-il une solution aujourd’hui?
2. Si la réponse à la qst 1 est non, je me tenterai bien a créer un petit plugin, avec un htaccess qui redirige vers un fichier php qui vérifie que l'utilisateur est connecté et à les droits, ça ne doit pas être super compliqué... Existe-t-il une doc qui explique comment créer un plugin piwigo (j'en ai jamais fait...)? Et aussi de la doc expliquant comment utiliser les méthode déja existantes (pour vérifier que l'utilisateur est bien connecté et à les droits sur une image par exemple...)?

Merci !

Dernière modification par Bankette (2011-12-30 11:44:25)

Hors ligne

#2 2011-12-30 12:28:41

Zaphod
Équipe Piwigo
Lieu: Toulouse
Date d'inscription: 2006-11-13
Messages: 2422
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

Normalement les fichiers qui sont dans upload/ ont un nom assez énigmatique.

Du genre :
http://www.monsite.fr/piwigo/upload/201 … b6ehd7.jpg

Pour accéder à l'url directe, il faut donc connaitre :
- la date d'upload exacte
- l'heure minute seconde d'upload (ici 23h 08min 41s)
- la chaine de caractère aléatoire qu'il y a derrière

C'est certes possible, mais quand même très peu probable.

Cela ne s'applique pas aux transferts par FTP qui sont beaucoup plus faciles à localiser.

Hors ligne

#3 2011-12-30 12:38:23

Bankette
Membre
Date d'inscription: 2010-08-23
Messages: 3

Re: [Résolu] Protéger l'accès aux images par URL directe

Bonjour Zaphod, en effet les noms sont imbitable, je te l'accorde.
Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http et ainsi récupérer les URLs. De même si par mégarde tu oublies de protéger un dossier image si quelqu'un y accède, il lui suffit e récupérer les URL et même une fois les droits correctement reconfigurer il aura toujours l'accès aux images.

Hors ligne

#4 2011-12-30 14:30:10

flop25
Équipe Piwigo
Date d'inscription: 2006-07-06
Messages: 6283
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

Bonjour, la sécurisation est au programme de la 2.4 : je vous propose de lire la dernière maj de [Forum, post 172940 by flop25 in topic 20519] En léger différé du forum anglais : le récapitulatif

Hors ligne

#5 2011-12-30 14:42:41

Bankette
Membre
Date d'inscription: 2010-08-23
Messages: 3

Re: [Résolu] Protéger l'accès aux images par URL directe

Merci Flop pour ce retour !
Je vais attendre la 2.4 du coup ;)

Hors ligne

#6 2011-12-30 15:30:40

Mascarille
Membre
Lieu: Lyon Avignon
Date d'inscription: 2009-12-21
Messages: 773
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

Excellente nouvelle !

Hors ligne

#7 2011-12-30 21:07:13

plg
Équipe Piwigo
Lieu: Nantes, France, Europe
Date d'inscription: 2002-04-05
Messages: 12175
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

Bankette a écrit:

Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]

Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?


Dernier billet du blog Piwigo.com (21 mars 2017) Offres Piwigo.com Entreprise, enfin officielles !

Hors ligne

#8 2011-12-30 21:12:49

flop25
Équipe Piwigo
Date d'inscription: 2006-07-06
Messages: 6283
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

plg a écrit:

Bankette a écrit:

Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]

Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?

ha oui pardon : sans https, on peut récupérer les id/pwd mais c'est le même topo avec bon nombre de CMS. en effet faut il encore pouvoir avoir un certificat ssl !

Hors ligne

#9 2011-12-30 22:48:36

Mascarille
Membre
Lieu: Lyon Avignon
Date d'inscription: 2009-12-21
Messages: 773
Site web

Re: [Résolu] Protéger l'accès aux images par URL directe

Je crois qu'il faut rester raisonnable, sniffer un réseau n'est quand même pas à la portée du premier venu.
La solution déjà envisagée - d'après ce que je comprend sur le forum anglais - me paraît une excellent alternative à une protection qui était aujourd'hui... quasi inexistante, surtout avec des albums physiques.

Bon réveillon à toute l'équipe !
Et pensez à autre chose !

Amicalement
Emile

Hors ligne

Pied de page des forums

Propulsé par FluxBB