Écrire une réponse

Veuillez écrire votre message et l'envoyer

Cliquez dans la zone sombre de l'image pour envoyer votre message.

Retour

Résumé de la discussion (messages les plus récents en premier)

Mascarille
2011-12-30 22:48:36

Je crois qu'il faut rester raisonnable, sniffer un réseau n'est quand même pas à la portée du premier venu.
La solution déjà envisagée - d'après ce que je comprend sur le forum anglais - me paraît une excellent alternative à une protection qui était aujourd'hui... quasi inexistante, surtout avec des albums physiques.

Bon réveillon à toute l'équipe !
Et pensez à autre chose !

Amicalement
Emile

flop25
2011-12-30 21:12:49

plg a écrit:

Bankette a écrit:

Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]

Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?

ha oui pardon : sans https, on peut récupérer les id/pwd mais c'est le même topo avec bon nombre de CMS. en effet faut il encore pouvoir avoir un certificat ssl !

plg
2011-12-30 21:07:13

Bankette a écrit:

Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]

Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?

Mascarille
2011-12-30 15:30:40

Excellente nouvelle !

Bankette
2011-12-30 14:42:41

Merci Flop pour ce retour !
Je vais attendre la 2.4 du coup ;)

flop25
2011-12-30 14:30:10

Bonjour, la sécurisation est au programme de la 2.4 : je vous propose de lire la dernière maj de post:172940

Bankette
2011-12-30 12:38:23

Bonjour Zaphod, en effet les noms sont imbitable, je te l'accorde.
Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http et ainsi récupérer les URLs. De même si par mégarde tu oublies de protéger un dossier image si quelqu'un y accède, il lui suffit e récupérer les URL et même une fois les droits correctement reconfigurer il aura toujours l'accès aux images.

Zaphod
2011-12-30 12:28:41

Normalement les fichiers qui sont dans upload/ ont un nom assez énigmatique.

Du genre :
http://www.monsite.fr/piwigo/upload/201 … b6ehd7.jpg

Pour accéder à l'url directe, il faut donc connaitre :
- la date d'upload exacte
- l'heure minute seconde d'upload (ici 23h 08min 41s)
- la chaine de caractère aléatoire qu'il y a derrière

C'est certes possible, mais quand même très peu probable.

Cela ne s'applique pas aux transferts par FTP qui sont beaucoup plus faciles à localiser.

Bankette
2011-12-30 11:41:25

Bonjour tout le monde !

Je possède un piwigo depuis plusieurs années maintenant, je commence à avoir pas mal de contenu et pas mal de groupe d'utilisateurs différents.
Aujourd'hui chaque peut accéder à son contenu et ne voir que les images qui le concerne. En ervanche, si il obtient l'URL dune image auquelle il n'a pas l'accès, il peut tout de même la voir.

Exemple : http://mondomaine.com/upload/2011/04/13/monimage.jpg

Même si cette image est protégé, n'importe qui qui possède cette URL peut y accéder.

J'ai regardé il y a eu deux plugins : secure images et hotBlocker mais qui ne sont malheureusement plus maintenu depuis longtemps et qui ne ofonctionne pas sur l version 2.3 de toute façon...

J'ai donc deux questions :
1. Existe-t-il une solution aujourd’hui?
2. Si la réponse à la qst 1 est non, je me tenterai bien a créer un petit plugin, avec un htaccess qui redirige vers un fichier php qui vérifie que l'utilisateur est connecté et à les droits, ça ne doit pas être super compliqué... Existe-t-il une doc qui explique comment créer un plugin piwigo (j'en ai jamais fait...)? Et aussi de la doc expliquant comment utiliser les méthode déja existantes (pour vérifier que l'utilisateur est bien connecté et à les droits sur une image par exemple...)?

Merci !

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact