🌍
Français
Alors je viens de tester le CHMOD 740 sur le cache.
Dossiers : 755 => 740
Fichiers : 644 => 740
Bilan :
L'affichage des vignette est quelque peut instable. Après quelques rafraichissement tout rentre dans l'ordre.
Mais le cache se renouvelant, les nouveaux fichiers sont écrit avec un CHMOD à... 644.
Pas contre ça bug coté administration à cause je pense de la compilation des templates.
Donc ça ne sert pas à grand chose.
Me maîtrisant pas la technique, je laisse comme avant.
Gotcha a écrit:
dmorgen a écrit:
Gotcha a écrit:
et ce le plus "simplement" via le cache de son navigateur !
Quid du cache lorsque l'on n'autorise rien au dessus de la taille médium par exemple?
Non non, le cache du navigateur ^^ Pas le cache de Piwigo.
Oui j'avais bien compris.
Gotcha a écrit:
Je teste le CHMOD sur mon cache en ligne. A voir mais j'ai peur d'effets de bords. Quid des photos que l'on poste vers des blogs/forums ??...
Je découvre à peine Piwigo donc je ne sais pas trop pour le cache.
Concernant les posts de photos vers des forums & co, comment tu procèdes? Tu mets le lien direct (ex : turlututupiwigo.com/photos/galleries/TestPiwigo/001.jpg) ou tu procèdes d'une autre manière?
Dans le premier cas, effectivement ça ne fonctionnera pas.
dmorgen a écrit:
Gotcha a écrit:
Renforcer la sécurité avec le CHMOD ne va servir qu'à quoi ? Dès lors que l'on connait l'URL du fichier, dès lors qu'il est affiché en fait, n'importe qui pourra le télécharger
Pas avec un chmod 740, c'est ce que je disais plus haut.
En effet, vu sur un simple fichier. Pas tester sur ma galerie.
dmorgen a écrit:
Gotcha a écrit:
et ce le plus "simplement" via le cache de son navigateur !
Quid du cache lorsque l'on n'autorise rien au dessus de la taille médium par exemple?
Non non, le cache du navigateur ^^ Pas le cache de Piwigo.
dmorgen a écrit:
Gotcha a écrit:
Alors trouver un moyen de protection infaillible sur les fichiers, bah perso je le cherche encore ^^
En rêve il existe peut-être. On est bien d'accord là dessus.
Mais cela n’empêche pas de limiter le risque.
Oui bien sûre.
Je teste le CHMOD sur mon cache en ligne. A voir mais j'ai peur d'effets de bords. Quid des photos que l'on poste vers des blogs/forums ??...
Gotcha a écrit:
Renforcer la sécurité avec le CHMOD ne va servir qu'à quoi ? Dès lors que l'on connait l'URL du fichier, dès lors qu'il est affiché en fait, n'importe qui pourra le télécharger
Pas avec un chmod 740, c'est ce que je disais plus haut.
Gotcha a écrit:
et ce le plus "simplement" via le cache de son navigateur !
Quid du cache lorsque l'on n'autorise rien au dessus de la taille médium par exemple?
Gotcha a écrit:
Alors trouver un moyen de protection infaillible sur les fichiers, bah perso je le cherche encore ^^
En rêve il existe peut-être. On est bien d'accord là dessus.
Mais cela n’empêche pas de limiter le risque.
Alors certes cela limite le piratage de masse mais bon, rien qu'avec le fichier index on évite les aspirateurs.
Votre remarque sur le CHMOD est valable est fonctionne bien dans le sous-répertoire ./galleries/ mais malheureusement aujourd'hui Piwigo a évolué et les photos sont ajoutées dans un autre répertoire et surtout un cache a fait son apparition.
Et le problème du cache c'est qu'il lui faut un CHMOD élevé. Je n'ai pas essayé mais pas sûre qu'à 740 cela suffise...
De plus, bloquez les aspirateurs c'est très simple et géré de facto par le fichier index.
Renforcer la sécurité avec le CHMOD ne va servir qu'à quoi ? Dès lors que l'on connait l'URL du fichier, dès lors qu'il est affiché en fait, n'importe qui pourra le télécharger et ce le plus "simplement" via le cache de son navigateur !
Alors trouver un moyen de protection infaillible sur les fichiers, bah perso je le cherche encore ^^
Oui.
1) Sans modifier les permissions (au niveau serveur) et sans mettre le fichier index.php, on peut consulter le contenu du répertoire et afficher les photos. Il suffit du connaitre le nom du répertoire qui est souvent le nom de l'album et chemin relatif (ce que l'on peut assez facilement deviné avec un minimum de connaissance de l'outil).
2) En ajoutant le fichier index.php, cela bloque la visualisation du contenu du répertoire mais on peut toujours afficher la photo. Ceci en ayant les connaissances du point 1) et en connaissant le nom de la photo qui apparait dans l'album.
3) chmod 740 (avec sans le fichier index.php, peu importe) => cela règle le point 1) et le point 2).
Je n'ai pas très bien compris...
Est-ce que le CHMOD à 740 est une bonne solution ? Est-ce que ça empêche la consultation des fichiers ??
[EDIT]
Après un rapide test en effet ça semble être un bon moyen de passer le CHMOD à 740 !
Gotcha a écrit:
Copiez simplement le fichier index.php contenu dans le répertoire ./gallerie et placez dans les sous-dossiers que vous créez.
Voilà comment éviter de rendre publique le contenu de vos répertoires :-)
Je rebondis à nouveau sur mon propre post. Mais... à mon sens cette méthode n'est pas la bonne. Elle rajoute effectivement un niveau de sécurité supplémentaire en empêchant de lister le contenu d'un répertoire mais n'empêche pas l'affichage de la photo.
Le visiteur lambda en allant sur le site, connait le nom de l'album (si on ne l'a pas changé). Il connait également le nom de la photo qu'il visionne.
Je reprends mon exemple du début : turlututupiwigo.com/photos/galleries/TestPiwigo/
Lorsque le visiteur navigue sur les photos du répertoire TestPiwigo, il aura le nom des fichiers photos : 001.jpg, 002.jpg, 003.jpg, etc...
Le fameux fichier index.php dans le répertoire TestPiwigo empêche l'affiche du contenu. Mais si le visiteur saisit l'adresse turlututupiwigo.com/photos/galleries/TestPiwigo/001.jpg, il aura la photo en full déf sans aucune restriction.
En faisant un chmod 740 sur les répertoires photos et son contenu, je contourne ce problème.
Dans le "740", le dernier chiffre correspond à "monde" donc un guest sans aucun droit et 0 c'est aucune autorisation.
Vu que c'est l'appli Piwigo qui s'occupe de l'affichage, les photos s'affichent sans problème, même pour un invité.
Après c'est juste mon avis d'informaticien qui cherche peut-être la petite bête... Mais vaut mieux prévenir que guérir je pense.
Ah merci!
Bon, je pense que je vais aussi pouvoir faire ça en ligne de commande... En me creusant la tête :)
Sinon c'est un chmod 740 et non 640.
extension:284
(je ne sais pas si il fonctionne bien en 2.4)
Je ne maîtrise pas les permissions :-/
Si pour vous ça vous convient avec un CHMOD à 640 alors parfait :o)
Oui, j'y ai également pensé.
Mais c'est loin d'être pratique lorsque l'on a plusieurs répertoires et sous répertoires.
La solution du chmod 640 n'est pas bonne?
Ca fonctionne bien chez moi. Pas d'accès si l'on connait l'URL et les photos restent visible avec les bons accès sur Piwigo.
Bonjour,
Effectivement si quelqu'un connait l'adresse physique des dossier, il peut toujours aller fouiner...
Il y a une parade très simple !
Copiez simplement le fichier index.php contenu dans le répertoire ./gallerie et placez dans les sous-dossiers que vous créez.
Voilà comment éviter de rendre publique le contenu de vos répertoires :-)
Bonjour,
Nouvel utilisateur de Piwigo, j'ai décidé de prendre un abonnement chez o2switch. J'ai donc installé Piwigo via Softaculous.
Je me suis rendu compte d'un problème de droits. Ayant vérifié votre documentation, je n'ai pas vu que le sujet était traité (mais peut-être que je n'ai pas regardé au bon endroit).
Prenons un exemple : turlututupiwigo.com
J'ai créé un sous-domaine : photos.
Piwigo est installé sur photos.turlututupiwigo.com.
J'upload un répertoire photos nommé "TestPiwigo" dans le répertoire "galleries". Je fais ma synchro, etc. Tout est accessible sans problème avec les autorisations adéquates.
Or, si je saisi l'adresse turlututupiwigo.com/photos/galleries/TestPiwigo/, j'ai accès à tous les répertoires et sous répertoires + contenus sans restriction et sans être logué.
J'ai dois donc mettre un chmod 640 sur le répertoire TestPiwigo si c'est un répertoire non publique. Sinon tout le monde y a accès si le nom de l'album est connu de telle ou telle manière.
De cette manière, les accès paraissent bons.
Est-ce la bonne méthode? Ai-je loupé quelque chose?
L'album est bien configuré comme privé et tout dans l'interface d'administration.