#1 2006-01-24 08:34:09

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

[Evolution] Sécurité des images

L'équipe de développement a une idée, mais avant de la mettre en oeuvre autant en discuter ici...
Au lieu de mettre une image sur une page, on peut générer quelque chose qui n'est plus l'image du répertoire d'origine sauf que tous les pixels sont bien là.

nicolas, PhpWebTeam, par ailleurs a écrit:

Pour faire simple le code peut ressembler à ça:

Code:

<?php
header("Content-type: image/gif");
print file_get_contents('mon_image_cache.gif');
exit();
?>

Je t'invite à relire le sujet suivant pour le côté intéressant. Je suis bien conscient que cela demande plus de ressource mais c'est peut-être intéressant à tester dans un coin! :-)
http://forum.phpwebgallery.net/viewtopic.php?id=5417

Merci, nicolas.
L'autre topic est en anglais mais il vaut le coup d'être lu (ceux qui peuvent).

Voila l'idée de départ.
Performances ? Conséquences sur la gestion des caches (browsers / serveurs) ?
Conséquences sur l'indexation des images via les moteurs de recherche ?

Alors, faudrait-il le mettre en oeuvre?
Si oui, en Option probablement, de toute façon pour permettre de faire des tests au cas par cas.
Si oui encore, uniquement dans l'utilisation de picture.php?

Et sinon, pourquoi?


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#2 2006-01-24 08:54:28

flipflip
Membre
Lyon
2005-03-19
2316

Re: [Evolution] Sécurité des images

Ca a l'air pas mal mais ça limite la compatibilité avec des versions de php antérieur à la 4.3 et apparament il y a un soucis avec IIS.

http://fr.php.net/file_get_contents

C'est un peu le même principe que le champ blob pour nu base de données sauf que là c'est pas dans la base ;)


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#3 2006-01-24 09:16:16

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [Evolution] Sécurité des images

flipflip a écrit:

Ca a l'air pas mal mais ça limite la compatibilité avec des versions de php antérieur à la 4.3 et apparament il y a un soucis avec IIS.

Pour régler l'éventuel problème de IIS (il y en a qui l'utlise ?) il suffit d'utiliser readfile au lieu de file_get_contents.

http://fr.php.net/readfile


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#4 2006-01-24 10:43:40

volcom
Former Piwigo Team
2005-01-24
489

Re: [Evolution] Sécurité des images

une petite question : ceci est pratique pour gérer la sécurité de l'affichage "brut" des images. Mais lorsqu'on affiche l'image dans picture.php, peut on se servir de cette astuce ? avec un include par exemple ?

Hors ligne

#5 2006-01-24 14:31:04

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [Evolution] Sécurité des images

volcom a écrit:

une petite question : ceci est pratique pour gérer la sécurité de l'affichage "brut" des images. Mais lorsqu'on affiche l'image dans picture.php, peut on se servir de cette astuce ? avec un include par exemple ?

Je ne suis pas sûr d'avoir bien compris ta question mais je vais quand même tenter d'y répondre.
On ne se sert plus que de ce script pour afficher les images. On bloque l'accès au répertoire où se trouve les images (htaccess avec deny from all). Si on essaie d'accéder aux images directement ça ne fonctionnera donc pas. Après on inclut ce script partout et on ne peut donc pas voir des images d'une catégorie interdite.
Est-ce que cela répond à ta question ?


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#6 2006-01-24 15:04:33

vimages
Membre
2004-03-27
2429

Re: [Evolution] Sécurité des images

sans vouloir interférer dans la discution, quelques questions me viennent à l'esprit....

je suppose que rien ne change dans l'utilisation de PWG en ce qui concerne :
- l'affichage des vignettes,
- l'affichages des images moyennes avec leurs données provenant de la base,
- l'éventuelle évolution de présentation des catégories,

Mais quid des photos plein format (contenues dans pwg_high) ? seront-elles toujours accéssibles par les utilisateurs autorisés, de quelle manière ? Ces fichiers ne doivent pas être transformés ou réinterprétés d'aucune façon !
en annexe, la fontion pwg_high download (la disquette) sera t-elle toujours possible ? 
Je crois comprendre que oui, mais je voudrais en être sur...   :o)

En commentaire, je perçois cette idée comme une nouvelle piste tres intéressante pour améliorer la sécurité sans boulverser la gestion de nos galleries.

merci!

eric.

Hors ligne

#7 2006-01-24 15:25:35

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [Evolution] Sécurité des images

vimages a écrit:

sans vouloir interférer dans la discution, quelques questions me viennent à l'esprit....

je suppose que rien ne change dans l'utilisation de PWG en ce qui concerne :
- l'affichage des vignettes,
- l'affichages des images moyennes avec leurs données provenant de la base,
- l'éventuelle évolution de présentation des catégories,

Mais quid des photos plein format (contenues dans pwg_high) ? seront-elles toujours accéssibles par les utilisateurs autorisés, de quelle manière ? Ces fichiers ne doivent pas être transformés ou réinterprétés d'aucune façon !
en annexe, la fontion pwg_high download (la disquette) sera t-elle toujours possible ? 
Je crois comprendre que oui, mais je voudrais en être sur...   :o)

En commentaire, je perçois cette idée comme une nouvelle piste tres intéressante pour améliorer la sécurité sans boulverser la gestion de nos galleries.

SI on met le sujet ici c'est justement pour avoir d'autres avis donc encore merci à toi Eric. Tu ne fais que nous mettre sur la bonne voie!
Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.

La seule chose qui empêche l'adoption de ce système sont les performances. A tester donc.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#8 2006-01-24 15:42:01

vimages
Membre
2004-03-27
2429

Re: [Evolution] Sécurité des images

Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.

c'est assez simple, les dossiers pwg_high contiennent les photos en plein format, en ce qui me concerne, ce sont les photos destinées à être publiées.
Les utilisateurs autorisés à voir un dossier ont aussi, de fait, accés au dossier pwg_high inclu et peuvent télécharger les grosses photos.
Ma question/précision était que les photos contenues dans les dossiers pwg_high doivent pouvoir être téléchargées telles-que, sans qu'elles soient transformées d'aucune façon. ...  une contrainter sans doute, mais je pense primordiale.

Hors ligne

#9 2006-01-24 17:58:48

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [Evolution] Sécurité des images

vimages a écrit:

Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.

c'est assez simple, les dossiers pwg_high contiennent les photos en plein format, en ce qui me concerne, ce sont les photos destinées à être publiées.
Les utilisateurs autorisés à voir un dossier ont aussi, de fait, accés au dossier pwg_high inclu et peuvent télécharger les grosses photos.
Ma question/précision était que les photos contenues dans les dossiers pwg_high doivent pouvoir être téléchargées telles-que, sans qu'elles soient transformées d'aucune façon. ...  une contrainter sans doute, mais je pense primordiale.

Dans ce cas, à priori pas de problème.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#10 2006-01-30 17:20:13

Zepouille
Invité

Re: [Evolution] Sécurité des images

Hello guys

je ne sais pas si c'est pertinent, mais ce qui me gène au niveau sécurité c'est ce genre de liens :
http://demo.phpwebgallery.net/galleries … ks/015.jpg

vu que le fichier est classé et stocké dans un répertoire, des petits malins peuvent toujours bypasser les users/password dans la base et accéder directement au fichier.

Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?

Zepouille

#11 2006-01-30 19:25:38

flipflip
Membre
Lyon
2005-03-19
2316

Re: [Evolution] Sécurité des images

je ne sais pas si c'est pertinent, mais ce qui me gène au niveau sécurité c'est ce genre de liens :
http://demo.phpwebgallery.net/galleries … ks/015.jpg

Il a déjà été proposé comme solution d'utiliser une génération de nom de facon aléatoire.


Le cerveau à des capacités tellement étonnantes qu’aujourd’hui pratiquement tout le monde en à un

Mon site : http://www.blogoflip.fr

Hors ligne

#12 2006-01-30 19:26:00

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [Evolution] Sécurité des images

Zepouille a écrit:

Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?

La réponse est de taille et de performance, de plus elle a été déjà évoquée.
Par contre, nos discussions nous orientent vers une solution de très loin plus simple.
A suivre... (On y viendra).


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#13 2006-02-02 21:15:52

nicolas
Former Piwigo Team
2004-12-30
1565

Re: [Evolution] Sécurité des images

VDigital a écrit:

Zepouille a écrit:

Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?

La réponse est de taille et de performance, de plus elle a été déjà évoquée.
Par contre, nos discussions nous orientent vers une solution de très loin plus simple.
A suivre... (On y viendra).

Je ne suis toujours pas convaincu de la pertinence de cette solution. J'ai la nette impression que l'on ferait chuter les performances ou du moins que l'on augmenterait les ressources consommées dans des proportions déraisonnables qui tendrait à rendre pwg plus consommatrice que phpbb. Horreur!!!!!!! Je ne veux pas être responsable de cette horreur mais pour te faire plaisir Vincent je vais essayer de te pondre le truc.


Donnez du peps à vos tags
Laissez vos visiteurs vous aidez à tagger vos images avec user_tags

Hors ligne

#14 2006-02-02 21:32:28

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: [Evolution] Sécurité des images

nicolas, tu testes quand tu as le temps mais pas pour me faire plaisir...

Je n'apprécie pas les aspirateurs, mais je concède que quelqu'un récupère une image pour un usage personnel.
[HS]
Je suis plus orienté vers le partenariat, tu as de belles photos et les miennes te plaisent aussi, alors affiche une partie de mes photos dans ta galerie comme si elles étaient comme un site distant et je fais pareil avec une partie des tiennes.
Avec un petit renvoi, si vous appréciez ces photos allez donc aussi faire un tour chez... pour en voir plus.
[/HS]

Bref, malgré tout on pourra le proposer en option ou en MOD peut être... si ça tient la route.


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#15 2006-02-06 01:40:14

mathiasm
Invité

Re: [Evolution] Sécurité des images

Et on rejoint là le topic des services Web avec les notions de clé, soit le controle d'accès aux images...
A+

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact