•  » Utilisation
  •  » [Résolu] Sécurisation Web Service

#1 2010-05-27 20:08:59

hpsam
Membre
Gap
2005-06-28
111

[Résolu] Sécurisation Web Service

Hello,
Je viens de découvrir lors de la mise en place d'une nouvelle galerie directement en 2.x que la sécurisation du Service Web semble avoir disparu.
=> restriction à une liste de catégorie ou photos... appliqué à une clef (token)

VDigital dit dans le forum : "Le token a été retiré en 2.0 (était valable en 1.7)"

et dans le wiki au chapitre Sécurisation il est signalé "obsolète avec Piwigo 2.0.0 et +" : http://fr.piwigo.org/doc/doku.php?id=pr … b_services

Un tour rapide sur les signatures des membres du forum -//:---\spam vite que tools/ws.htm est dispo de partout en 2.x et permet de se connecter à l'API ws.php de n'importe quel galerie.

Par quoi le système de sécurisation de la 1.7 est remplacé ?

Merci

Hors ligne

#2 2010-05-27 20:40:48

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12671

Re: [Résolu] Sécurisation Web Service

Bonjour hpsam,

N'effrayons pas tous les utilisateurs :-) La 2.0/2.1 n'a pas un trou de sécurité via ses webservice (autrement appelé "API web"). Par soucis de simplification nous avons retiré le principe de sécurité supplémentaire dédié à l'API web.

L'API web est sécurisé comme l'interface web. On n'y voit rien de plus, rien de moins. Si une photo est visible dans la galerie, alors elle l'est aussi dans l'API web. Si la photo n'est pas visible dans la galerie sans être connecté, alors elle n'est visible dans l'API web qu'en étant connecté.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#3 2010-05-27 20:52:14

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [Résolu] Sécurisation Web Service

Il n'a pas été remplacé.
Nous l'avons jugé sous-exploité, et trop lourd à gérer pour ce que nous voulions faire avec les web services.
Tu peux malgré tout utiliser la connexion via l'API et t'appuyer ensuite sur les autorisations.

Grillé. ;-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#4 2010-05-29 12:10:52

hpsam
Membre
Gap
2005-06-28
111

Re: [Résolu] Sécurisation Web Service

J'ai peut être mal tournée mes phrases, je ne voulais pas dire qu'il y avait faille de sécurité.
Car effectivement rien de plus que ce qui est accessible par la galerie n'est visible.

Par contre on offre par ce biais la possibilité de facilement reprendre les photos de différents sites pour monter son propre site, sans supporter le cout de l'hébergement (vol de bande passante).

L'ancienne restriction me permettait de donner accès à l'API uniquement à mes autres sites et aux sites partenaires avec une limitation du nombre de photos maximum renvoyées en fonction du partenaire.

Je vais donc désactiver les webservices des sites où je n'utilise pas l'API et limiter les accès par referer  via .htaccess pour les autres.

Merci

Hors ligne

#5 2010-05-30 00:47:16

tosca
Former Piwigo Team
Cévennes (Gard)
2006-09-23
3818

Re: [Résolu] Sécurisation Web Service

Si tu as la réponse à ta question, merci de passer le sujet en "résolu" (lien sous ton post initial).

Hors ligne

  •  » Utilisation
  •  » [Résolu] Sécurisation Web Service

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact