Bonjour,
Je n'ai pas vraiment lu la FAQ, ni chercher dans le forum, veuillez m'en excuser ^^
Sur ma gallerie de photo voici dans quel répertoire sont générées les photos de ma gallerie :
http://monhost.com/_data/i/galleries/20 … 100-xx.jpg
L'accès à un dossier renvoie bien un "Forbidden"
Exemple :
http://monhost.com/_data/i/galleries/2013/ => Forbidden
Cependant l'accès à une image est possible via son url directe... comme la structuration de mes galleries est "logique" car basée sur des noms d'albums et des dates. et sachant que je conserve mes photos avec leur nom d'origine d'appareil photo (DSC_XXXX.jpg), j'imagine qu'il pourrait être assez facile de déduire des noms de fichiers existant.
De ce fait, la sécurité des images me semblent relativement faible avec piwigo (notamment pour ce qui est des photos de famille etc etc)
Y aurait il un plugin qui permettrait de rajouter un hash unique à toutes les photos générées par le système.
De ce fait il deviendrait bcp plus difficile de "deviner" un nom potentiel d'une photo.
à titre d'exemple :
http://monhost.com/_data/i/galleries/20 … 100-xx.jpg
deviendrait
http://monhost.com/_data/i/galleries/20 … 4ef-xx.jpg
Hors ligne
Bonjour
Piwigo 2.5 ?
si oui il y a ceci dans la note de version : http://fr.piwigo.org/releases/2.5.0#protection
Hors ligne
Oui tout à fait 2.5, je vient de faire la MAJ, et justement, je voulais voir comment se comportait cette configuration.
Cette configuration parle uniquement des photos Originales, c'est à dire celle présente précisément dans les dossiers de galleries.
J'ai donc activé cette fonction + ajouté un DENY FROM ALL dans mon VHOST vers le dossier "galleries".
De ce fait, je ne peux plus accéder directement à rien qui se trouve dans http://monhost.com/galleries/Nimporte/quelle/image.jpg
=> "FORBIDDEN"
Ici je parle des photos qui sont générées par piwigo et qui se trouvent dans le dossier "_data/i/"
Ce point me semble différent de l'objet de la configuration introduite dans piwigo 4.5
Dernière modification par viper82 (2013-03-07 14:23:25)
Hors ligne
Allez, je suis gentil, ce n'est pas un galerie publique donc soyez gentil, mais je vais illustrer mes propos :
Path de l'image selon l'arbo des dossier
http://photos.lucmuller.fr/galleries/20 … C_1441.jpg
=> FORBIDDEN
Accès à un dossier précis :
http://photos.lucmuller.fr/galleries/20 … 1_Laponie/
=> FORBIDDEN
Accès à un dossier de "_data/i"
http://photos.lucmuller.fr/_data/i/gall … ponie/Luc/
=> "Not Allowed"
==> Accessoirement, un FORBIDDEN ici aussi serait sympa.
Accès à une photo précise
http://photos.lucmuller.fr/_data/i/gall … 100-xx.jpg
=> PAF, accès à la photo... (ce qui en l'état est tout à fait normal, pour pouvoir l'afficher dans la galerie)
==> donc, si je suis un malin, je peux avoir accès à minimum à toutes les photos du set, via un changement du nom de fichier et/ou à d'autres albums si j'arrive à en déduire les noms.
Est ce que la nouvelle conf permet d'éviter ça et c'est moi qui l'ait mal configurée ?
Ou est ce que mes propos sont légitimes ?
Dernière modification par viper82 (2013-03-07 14:33:53)
Hors ligne
exact :)
pour l'instant pas de moyen simple de le faire (et c'est pas envisageable d'ajouter une chaine aléatoire à la fin du nom de fichier)
si vous utilisez l'upload web (ou pLoader ou autre) les noms seraient aléatoires
il y aussi diverses solutions proposées sur le forum international http://piwigo.org/forum/viewtopic.php?id=21511
Hors ligne
mistic100 a écrit:
pour l'instant pas de moyen simple de le faire (et c'est pas envisageable d'ajouter une chaine aléatoire à la fin du nom de fichier)
on n'est pas obligé d'y ajouter une chaine "aléatoire" ça peut être une chaine "hashée".
Exemple :
Dans piwigo on crée une config de "clé secrète"
$conf['PWG_SECRETKEY'] = 'some-random-string';
Le nom de l'image devient alors (en php)
$filename.'-'.md5($conf['PWG_SECRETKEY'].$pathOriGinalDeLaPhoto).'-xx.jpg';
pour générer l'affichage de piwigo, j'imagine qu'il suffirait de reconstruire le nom de l'image de la même manière...
Note : Je n'ai jamais mis les mains dans le core de piwigo, donc je dis peut être des bétises
Dernière modification par viper82 (2013-03-07 15:39:50)
Hors ligne
viper82 a écrit:
Note : Je n'ai jamais mis les mains dans le core de piwigo, donc je dis peut être des bétises
bin qu'est ce que tu attends :-P
Hors ligne
viper82 a écrit:
c'était effectivement la réponse la plus facile à donner ^^
Je laisse mistic100 te répondre pour le reste je n'ai que partiellement lu la discussion ;-)
Beaucoup de chose sont réalisable en plugin
Hors ligne