Annonce

#16 2005-07-23 12:10:44

perverto
Membre
2005-06-15
5

Re: Pb de securité avec PhpWebGallery

En effet pour les sites distant ca ne marche pas et je suis obligé de le déplacer a chaque fois. J'avoue que c'est bien parceque je me sers peu des sites distant que ca ne me dérange pas. Par contre pour le site sur lequel est installé phpWebgallery moi j'ai jamais eu de probleme.

Hors ligne

#17 2005-08-19 09:30:41

DrWatson
Invité

Re: Pb de securité avec PhpWebGallery

Tout d'abord bonjour...

Je me suis intéressé à PWG depuis peu mais j'avoue avoir été surpris : c'est exactement ce que je cherchais ;-) J'avais développé un truc similaire à l'arrache (donc pas joli mais avec à peu près les mêmes fonctionnalités).

Pour régler le problème de sécurité lié au répertoire "galleries", une bonne solution serait de stocker les photos en dehors du root du site Web (ce qu'il possible de faire dans certains cas). Il faudrait alors passer par un petit script qui ouvre le fichier en binaire et qui le balance au navigateur en tant qu'image (je peux en fournir un).

Dans ce cas, la sécurité ne reposerait que sur la base et les accès de PWG ! Il faudrait cependant modifier l'application pour qu'il utilise à chaque fois qu'on veut afficher une image ce script (en passant une référence unique, genre ImageID définit dans la base). Du coup, l'applicatif n'a qu'à vérifier que l'utilisateur à bien le droit d'accéder et lui balance l'image, sinon erreur de droits d'accès...

Je ne sais pas si c'est très clair... Qu'en pensez vous ? Je sais que j'arrive avec mes gros sabots comme ça mais bon ;-)


DrWatson

#18 2006-11-16 17:49:21

Pompon
Membre
Paris (FR)
2005-11-19
49

Re: Pb de securité avec PhpWebGallery

Salut,

Je voulais signaler une solution pour les utilisateurs sur mac que j'utilise depuis quelques mois déjà. Un petit script qui génére des chiffres et lettres de façon aléatoire dans le nom du fichier (comme le préconisait cpolomack, VDigital et perverto dans ce post) qui, combinait à un fichier index.htm, offre un peu plus de sécurité. Le script se charge également de redimensionner les images dans un nouveau dossier et de créer des miniatures dans un sous-dossier. Prêt à servir  ;-)

Le code est disponible sur le forum de Macbidouille à cette adresse :
-> Insérer lettres et nombres aléatoires dans des noms de fichier, avec AppleScript.

La seule "contrainte" est de sauvegarder également les images redimensionnées en plus des originales en cas de crash de la base de données, car le script ne touche pas aux originaux.

Voilà si ça peut servir,
@+


Environnement mac et hébergement chez free.

Hors ligne

#19 2006-11-26 19:07:20

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Pour le choix d'un index.php , ne pas oublier d'en poser aussi dans le répertoire des miniatures .... car le nom de celui-ci étant toujours le même (thumbnail par défaut) ... sinon il sera toujours aussi facile de connaître les noms de images. ....

A part ça, toujours pas de solution plus élaborée ?

Hors ligne

#20 2006-11-27 09:47:50

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Bonjour,

une autre solution, qui ne convient peut-être pas à tout le monde, existe. Le prix à payer est un besoin plus élevé en terme de ressources, bien que si votre galerie n'a qu'un nombre moyen de visiteurs, ceci ne devrait pas poser de problèmes.

Le projet n'avance plus pour l'instant, bien qu'il semble répondre aux besoins d'une bonne partie de personnes. Parmi les défauts actuels on retrouve des soucis en ce qui concerne les vidéos et les sites distants. J'ai fait un premier travail pour ajouter le support de ces derniers, mais je n'ai pas particulièrement pousser la chose. Je pense revenir en arrière et assurer les choses en local (vidéo entre autres) avant de me lancer dans d'autres aventures...

Tout retour d'information est le bienvenu. Sur ce, bonne journée...

Hors ligne

#21 2006-11-27 13:05:17

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Effectivement hier soir, j'ai commencé à découvrir ton travail et les différents posts autour de ce sujet.

Je t'informerai bien évidemment, de toute observation sur mes tests.

Je suis dans le cadre d'une utilisation familiale (photo d'enfants), je vais donc tester le mod.
J'ai bien compris les aspects stratégiques pwg : c'est pouquoi lorsque j'utiliserai ce mod chez les hébergeurs gratuits, ce ne sera que dans un cadre familiale et donc restreint (3 cnx simultané max, 20 utilisateurs enregistrés)

Toutefois, dernièrement dans l'historique PWG, j'ai été surpris de voir un nombre très important de visiteurs inconnus, donc logiquement un bot. Toujours dans la plage 74.6.0.0/16, jusque 126 accès par jour et un chgt d'adr toutes les demi heure.  Ce qui me laisse donc supposer qu'il y aurait des bots spécifiques à PWG (plusieurs jours 24/24) ...

Si ce style de bots devait se généraliser, quel serait alors l'impact avec ton MOD ?

En attendant, ca a l'air du beau travail. Je regarde ca dès ce soir.

Merci.

Hors ligne

#22 2006-11-27 13:45:58

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Bonjour,

pour ce qui est des requêtes que tu as, c'est assez normal en fait. C'est les différents "web crawler" (je ne connais pas le terme français) qui circulent sur le net et cataloguent tout ce qui est accessible. Dans ton cas, c'est Yahoo.

A priori, si ton site est accessible par tout le monde, il se trouvera vite catalogué dans les moteurs de recherches. Si par contre tu as configuré PHPWG pour bloquer l'accès aux visiteurs, même sans avoir bidouillé le tout, tu dois être à l'abri de ces programmes. S'ils arrivent cependant à aller jusqu'à tes images, là il y a un souci quelque part.

Il y a un moyen de dire aux "web crawler" qu'ils ne doivent pas poursuivre un lien et je pense que ça pourrait t'intéresser : http://en.wikipedia.org/wiki/Robots_Exc … for_robots

Bon courage pour la suite...

Hors ligne

#23 2006-11-27 15:01:56

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pb de securité avec PhpWebGallery

acp a écrit:

"web crawler" (je ne connais pas le terme français)

Robot d'indexation  (beaucoup moins original qu'en anglais).


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#24 2006-11-27 15:13:31

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Ah tiens, merci pour l'info... J'avais justement regardé l'article anglais mais il n'y avait pas de référence à ceux des versions en d'autres langues...

Hors ligne

#25 2006-11-28 17:30:14

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Bon, les tests commencent très bien ...

Pour le moment, ca fonctionne nickel, même avec les catégories virtuelles.

Juste un petit défaut : Lors de l'affichage la taille de l'image n'est plus adaptée en fonction des choix utilisateurs, ni mêmes ceux par défaut.

Hors ligne

#26 2006-11-28 22:26:45

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

ramunt a écrit:

Juste un petit défaut : Lors de l'affichage la taille de l'image n'est plus adaptée en fonction des choix utilisateurs, ni mêmes ceux par défaut.

En effet, il s'agit d'un bug... Bien vu. Je corrige ça d'ici peu, ce qui veut dire demain ou lundi prochain :).

Hors ligne

#27 2006-11-29 02:04:40

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Ce qui est bizarre c'est que des fois ça fonctionne ...

Autre chose de bizarre :
Si l'on bosse en administration sur des catégories sur lesquelles on n'a pas les droits, alors les images n'apparaissent pas.

Il suffit bien sûr de se redonner les droits temporairement, mais c'est gênant pour passer de nouvelles photos d'une catégorie physique vers une catégorie virtuelle, car il faut alors se remettre les droits sur la catégorie physique.

@+

Hors ligne

#28 2006-11-29 11:42:04

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12551

Re: Pb de securité avec PhpWebGallery

ramunt a écrit:

Si l'on bosse en administration sur des catégories sur lesquelles on n'a pas les droits, alors les images n'apparaissent pas.

C'est le comportement prévu. Créées toi un groupe "administration" qui a accès à toutes les catégories et associe ton utilisateur à ce groupe lorsque tu fais des tâches d'administration.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#29 2006-11-29 15:17:28

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Ok, pour l'admin.

Autre léger pb : Lorsque l'on affiche plusieurs miniatures d'un coup comme dans l'administration du panier, il est très fréquent que certaines ne s'affichent pas (TODO).

Une, deux ou trois ré-actualisations permettent souvent de régler le pb. Mais il n'est pas facile d'avoir une page complète, càd toutes les miniatures présentes.

@+

Dernière modification par ramunt (2006-11-29 15:18:19)

Hors ligne

#30 2006-11-29 15:29:27

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Bonsoir,

le dernier problème que tu énonces tient à priori de l'hébergeur et du temps qu'il lui faut pour répondre à une requête... Enfin je pense... Disons que je ne vois pas d'autre explication quand l'image est correctement affichée au bout de quelques raffraichissements.

Ceci dit, maintenant que j'y pense, c'est tout de même étrange. La seule explication logique que je vois comme ça, c'est la limitation du temps d'exécution d'un script php qu'impose un hébergeur. Dans le cas de free par exemple (qui est utilisé par une bonne partie d'entre nous), de tes problèmes peuvent avoir lieu. Je ne vois pas de solution au premier abord, autre qu'une optimisation sérieuse du code. Ceci dit, je préfère régler tous les bugs avant de me lancer dans cette aventure, et étant donné la très petite taille du fichier getFile, et le nombre limité d'opérations qu'il contient, ça m'étonnerait que les changements soient radicaux.

Quoi qu'il en soit, c'est quelque chose que j'ai vécu et je vais voir ce que je vais faire. Ça reste cependant pour l'instant moins prioritaire que toute correction de bug.

acp

EDIT:
PS: Je viens de tester sous ma gallerie hébergée chez Free d'afficher 206 miniatures après avoir vidé le cache et elles se sont toutes affichées. Je pense donc que c'est vraiment un problème hébergeur et que quand la charge est trop importante, donc le temps de chargement aussi, de tels problèmes se présentent. Je n'ai pas fait encore la mise à jour de l'extension sur mon site hébergé donc il se peut qu'avec la dernière, le problème soit un peu accru (quoi que je ne pense pas que ce soit si accru)...

Dernière modification par acp (2006-11-29 15:38:01)

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2022 · Contact