Bonjour tout le monde !
Je possède un piwigo depuis plusieurs années maintenant, je commence à avoir pas mal de contenu et pas mal de groupe d'utilisateurs différents.
Aujourd'hui chaque peut accéder à son contenu et ne voir que les images qui le concerne. En ervanche, si il obtient l'URL dune image auquelle il n'a pas l'accès, il peut tout de même la voir.
Exemple : http://mondomaine.com/upload/2011/04/13/monimage.jpg
Même si cette image est protégé, n'importe qui qui possède cette URL peut y accéder.
J'ai regardé il y a eu deux plugins : secure images et hotBlocker mais qui ne sont malheureusement plus maintenu depuis longtemps et qui ne ofonctionne pas sur l version 2.3 de toute façon...
J'ai donc deux questions :
1. Existe-t-il une solution aujourd’hui?
2. Si la réponse à la qst 1 est non, je me tenterai bien a créer un petit plugin, avec un htaccess qui redirige vers un fichier php qui vérifie que l'utilisateur est connecté et à les droits, ça ne doit pas être super compliqué... Existe-t-il une doc qui explique comment créer un plugin piwigo (j'en ai jamais fait...)? Et aussi de la doc expliquant comment utiliser les méthode déja existantes (pour vérifier que l'utilisateur est bien connecté et à les droits sur une image par exemple...)?
Merci !
Dernière modification par Bankette (2011-12-30 11:44:25)
Hors ligne
Normalement les fichiers qui sont dans upload/ ont un nom assez énigmatique.
Du genre :
http://www.monsite.fr/piwigo/upload/201 … b6ehd7.jpg
Pour accéder à l'url directe, il faut donc connaitre :
- la date d'upload exacte
- l'heure minute seconde d'upload (ici 23h 08min 41s)
- la chaine de caractère aléatoire qu'il y a derrière
C'est certes possible, mais quand même très peu probable.
Cela ne s'applique pas aux transferts par FTP qui sont beaucoup plus faciles à localiser.
Hors ligne
Bonjour Zaphod, en effet les noms sont imbitable, je te l'accorde.
Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http et ainsi récupérer les URLs. De même si par mégarde tu oublies de protéger un dossier image si quelqu'un y accède, il lui suffit e récupérer les URL et même une fois les droits correctement reconfigurer il aura toujours l'accès aux images.
Hors ligne
Bonjour, la sécurisation est au programme de la 2.4 : je vous propose de lire la dernière maj de [Forum, post 172940 by flop25 in topic 20519] En léger différé du forum anglais : le récapitulatif
Hors ligne
Excellente nouvelle !
Hors ligne
Bankette a écrit:
Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]
Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?
Hors ligne
plg a écrit:
Bankette a écrit:
Mais quelqu'un qui arrive a sniffer ton réseau, peut analyser les requête http [...]
Alors dans ce cas, même ce qui est prévu en 2.4 ne sécurisera pas la galerie : il suffit de récupérer le username/password de l'utilisateur lorsqu'il se connecte et hop, on accède à la même chose que lui. A moins que la galerie soit accessible uniquement en HTTPS ?
ha oui pardon : sans https, on peut récupérer les id/pwd mais c'est le même topo avec bon nombre de CMS. en effet faut il encore pouvoir avoir un certificat ssl !
Hors ligne
Je crois qu'il faut rester raisonnable, sniffer un réseau n'est quand même pas à la portée du premier venu.
La solution déjà envisagée - d'après ce que je comprend sur le forum anglais - me paraît une excellent alternative à une protection qui était aujourd'hui... quasi inexistante, surtout avec des albums physiques.
Bon réveillon à toute l'équipe !
Et pensez à autre chose !
Amicalement
Emile
Hors ligne