#1 2002-07-19 14:36:19

Bhazeguzer
Membre
Grenoble, France
2002-07-19
31

Bug Securité!!!

il suffit d'aller dans le répertoire /galleries pour avoir accès a toutes les photos!
Au moins dans la v 1.0.2 on ne pouvait pô y aller à moins de connaitre le nom de la rubrique.

J'ai résolu le prob en mettant un index.html dans /galleries mais c serait bien que PWG mette automatiquement un index.html dans toutes les galeries uploadées (jsais pô si c'est faisaible)

En tout cas il faudra livrer la 1.1 finale avec un index.html dans /galleries :)

Hors ligne

#2 2002-07-19 14:38:07

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Bug Securité!!!

je note le coup du index.htm.
Sache tout de même que je ne peux pas rajouter le fichier index.htm dans les nouveaux rep... une histoire de gestion de droits...(mais je peux le signaler facilement par contre)


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#3 2002-07-22 18:16:00

Bhazeguzer
Membre
Grenoble, France
2002-07-19
31

Re: Bug Securité!!!

Et un .htaccess qui n'autoriserait les requetes que d'un domaine (saisi lors de l'installation par ex), c'est faisable ?
Je dis ça pask moi j'y suis PAS arrivé en mettant ceci :( :   

Code:

 
Order Deny,Allow 
Deny from all 
Allow from .free.fr 

Hors ligne

#4 2002-07-22 18:31:05

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Bug Securité!!!

je crois que 
1. ça marche pas
2. même si on arrive à le faire marcher sur free, je te parie que ça marchera pas sous lycos par exemple.

En gros, à la base c'est une bonne idée, mais concrètement, c'est difficelement utilisable.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#5 2002-07-28 06:45:16

JS
Invité

Re: Bug Securité!!!

:idea: 

Pourquoi ne pas mettre les images dans en blob dans la base de donnée une fois ajoutées ? ca résoudrait les problèmes de sécurité non ?

#6 2002-07-28 09:10:05

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Bug Securité!!!

j'y ai pensé, mais je n'aime pas du tout cette solution, normalement une base de données n'est pas vraiment faite pour stocker ce genre d'informations !(c comme utiliser le mail pour envoyer des documents vidéo, ça marche, mais c'est pas fait pour ça.)
De plus, je peux t'assurer que :
1. ton hébergeur ne serait pas content (ça bouffe la communication entre le serveur web et le serveur MySQL
2. tes pages seraient plus lentes à s'afficher.
3. ça ne marcherait pas pour tous les hébergeurs.

Voilà les raisons.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#7 2002-09-04 23:43:52

Gnoorod
Invité

Re: Bug Securité!!!

J'ai programmé dernièrement avec un groupe d'ami une application qui permet de faire del'hébergement en php/mysql... Tout est dans un blob... mysql gère très bien les requêtes de download et upload... 

Quoi que dans le fond.. je sais pas trop, on a pas testé sous une utilisation TRES intense..  Mais à court terme, c'était très rapide

#8 2002-09-04 23:47:05

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Bug Securité!!!

ok, je vais redonner un peu d'eau à mon moulin alors.
1. je persiste à dire que ça serait très lent comme solution
2. tu es souvent limité à peu de Mo pour les bases de données, même chez un hébergeur payant. Sur mon "petit" site de photos perso, j'ai déjà 60 Mo avec à peine 1000 photos en 640*480... T'imagine un site avec 5000 photos en 1600*1200 !!!


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

#9 2002-09-13 12:26:50

vicnet
Membre
Toulouse
2002-09-05
7

Re: Bug Securité!!!

Salut,

J'ai remarqué aussi qu'on pouvait acceder directement a une photo sans etre loggué si on connait son nom et son emplacement.
N'y a t'il pas moyen de mettre un htaccess avec mot de passe. L'acces serait autorisé par php ?!?

En resume :
Acces direct : interdit par htaccess
Acess par php: ok le script fournit le mot de passe

a+
Vincent

Hors ligne

#10 2002-09-13 12:29:28

plg
Équipe Piwigo
Nantes, France, Europe
2002-04-05
12672

Re: Bug Securité!!!

mettre un htaccess, oui, c sûrement ce qu'il faut faire, mais ne pas oublier que ça va pas marcher partout pareil. C'est donc une manip à faire à la main pour ceux qui sont intéressés. C'est donc un peu hors-sujet par rapport à PhpWebGallery.


Les historiens ont établi que Pierrick était le premier utilisateur connu de Piwigo.

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact