Hello,
Je viens de découvrir lors de la mise en place d'une nouvelle galerie directement en 2.x que la sécurisation du Service Web semble avoir disparu.
=> restriction à une liste de catégorie ou photos... appliqué à une clef (token)
VDigital dit dans le forum : "Le token a été retiré en 2.0 (était valable en 1.7)"
et dans le wiki au chapitre Sécurisation il est signalé "obsolète avec Piwigo 2.0.0 et +" : http://fr.piwigo.org/doc/doku.php?id=pr … b_services
Un tour rapide sur les signatures des membres du forum -//:---\spam vite que tools/ws.htm est dispo de partout en 2.x et permet de se connecter à l'API ws.php de n'importe quel galerie.
Par quoi le système de sécurisation de la 1.7 est remplacé ?
Merci
Hors ligne
Bonjour hpsam,
N'effrayons pas tous les utilisateurs :-) La 2.0/2.1 n'a pas un trou de sécurité via ses webservice (autrement appelé "API web"). Par soucis de simplification nous avons retiré le principe de sécurité supplémentaire dédié à l'API web.
L'API web est sécurisé comme l'interface web. On n'y voit rien de plus, rien de moins. Si une photo est visible dans la galerie, alors elle l'est aussi dans l'API web. Si la photo n'est pas visible dans la galerie sans être connecté, alors elle n'est visible dans l'API web qu'en étant connecté.
Hors ligne
Il n'a pas été remplacé.
Nous l'avons jugé sous-exploité, et trop lourd à gérer pour ce que nous voulions faire avec les web services.
Tu peux malgré tout utiliser la connexion via l'API et t'appuyer ensuite sur les autorisations.
Grillé. ;-)
Hors ligne
J'ai peut être mal tournée mes phrases, je ne voulais pas dire qu'il y avait faille de sécurité.
Car effectivement rien de plus que ce qui est accessible par la galerie n'est visible.
Par contre on offre par ce biais la possibilité de facilement reprendre les photos de différents sites pour monter son propre site, sans supporter le cout de l'hébergement (vol de bande passante).
L'ancienne restriction me permettait de donner accès à l'API uniquement à mes autres sites et aux sites partenaires avec une limitation du nombre de photos maximum renvoyées en fonction du partenaire.
Je vais donc désactiver les webservices des sites où je n'utilise pas l'API et limiter les accès par referer via .htaccess pour les autres.
Merci
Hors ligne
Si tu as la réponse à ta question, merci de passer le sujet en "résolu" (lien sous ton post initial).
Hors ligne