Bonsoir chère communauté Piwigo !

J'ai plusieurs galeries Piwigo dont je suis très satisfait. Je remercie une fois de plus le staff qui a fait (et qui fait toujours) un boulot admirable sur ce projet !

Récemment j'ai installé le plugin VideoJS pour mettre en ligne des vidéos HD au format MP4.
Tout s'est bien passé, le résultat était très honorable :)

Il y a quelques jours, je consulté les statistiques HTTP de mon serveur et je me suis rendu compte que les URL de mes fichiers MP4 apparaissaient en clair, par curiosité, j'ai copier/coller les URL dans un autre navigateur web sans m'être authentifié, et les fichiers se sont chargés sans demander de mot de passe :\

C'est alors que je me suis mis à chercher des informations pour savoir comment protéger les fichiers que je souhaite partager via piwigo.
J'ai compris que le sujet n'était pas nouveau et que le staff n'a pas encore trouvé le bon compromis entre facilité de mise en oeuvre et performances.

Voici donc la procédure que j'ai suivie :

Depuis l'interface admin piwigo :
=> éditer l'utilisateur guest pour lui interdire l'affichage Haute définition
=> éditer tous les albums et sous-album afin de les rendre privés, en autorisant seulement les utilisateurs désirés

Depuis le CLI :
Créer un fichier .htaccess contenant "deny from all", puis le placer dans les dossiers suivants :
\piwigo\_data\i\
\piwigo\galleries\
\piwigo\upload\

Éditer le fichier config_default.inc.php
vi piwigo/include/config_default.inc.php
Vers la fin du fichier, modifier les 2 lignes suivantes :
$conf['derivative_url_style']=0;
=> $conf['derivative_url_style']=2;

$conf['original_url_protection'] = '';
=> $conf['original_url_protection'] = 'all';

Le résultat est plutôt concluant MAIS, car il y a un mais... les images qui ont une résolution dont la hauteur est supérieure ou égale à 1080 pixels ne sont pas protégées par la méthode détaillée ci-dessus...

Mon protocole de tests est le suivant :
J'affiche les photo d'un album puis je zoom sur l'une d'entre elles à l'aide de la fonction loupe. Une fois l'image agrandie, j'effectue un clic droit => copier l'URL de l'image (en fonction du navigateur le message est différent)
Je colle ensuite cette URL dans un nouvel onglet.
Si l'URL est de type "http://monsiteweb/piwigo/action.php?id=1&part=e" alors il s'agit d'une URL protégée.
Si l'URL est de type "http://monsiteweb/piwigo/i.php?/upload/2014/11/23/identifiantuniquedel'image.jpg" alors l'URL permet d'afficher l'image sans aucune authentification.

Vous pouvez vous rendre sur une de mes galeries qui propose un accès public intégral : http://pics.aerofab.info
Pour des exemples d'URL protégées, rendez-vous dans l'album "1er vol de l'A380" qui contient des images en faible résolution.
Pour des exemples d'URL non protégées, rendez-vous dans l'album "Février 2007" qui contient des images en haute résolution.


Si le staff passe dans les parages, merci de me donner la marche à suivre pour protéger toutes mes photos sans avoir à passer par la case redimensionnement :)

Longue vie à Piwigo !!!

PS : quelques liens utiles dont je me suis servi
Sur le blog de "Serge's Technology View" : Piwigo Security – protect your images

Sur le site linuxfr.org : Piwigo 2.7 : un chez-soi pour vos photos

Sur ce forum via un commentaire de "Yoni Jah" qui a développé un script un peu complexe à mettre en oeuvre : Secure Images

Version de Piwigo: 2.7.2
Version de PHP: 5.5.9-1ubuntu4.7
Version de MySQL: 5.5.41-0ubuntu0.14.04.1
URL Piwigo: http://pics.aerofab.info