Piwigo.org

VDigital · 2006-01-24 08:34:09

L'équipe de développement a une idée, mais avant de la mettre en oeuvre autant en discuter ici...
Au lieu de mettre une image sur une page, on peut générer quelque chose qui n'est plus l'image du répertoire d'origine sauf que tous les pixels sont bien là.

nicolas, PhpWebTeam, par ailleurs a écrit:
Pour faire simple le code peut ressembler à ça:
Code:
<?php
header("Content-type: image/gif");
print file_get_contents('mon_image_cache.gif');
exit();
?>
Je t'invite à relire le sujet suivant pour le côté intéressant. Je suis bien conscient que cela demande plus de ressource mais c'est peut-être intéressant à tester dans un coin! :-)
http://forum.phpwebgallery.net/viewtopic.php?id=5417

Merci, nicolas.
L'autre topic est en anglais mais il vaut le coup d'être lu (ceux qui peuvent).

Voila l'idée de départ.
Performances ? Conséquences sur la gestion des caches (browsers / serveurs) ?
Conséquences sur l'indexation des images via les moteurs de recherche ?

Alors, faudrait-il le mettre en oeuvre?
Si oui, en Option probablement, de toute façon pour permettre de faire des tests au cas par cas.
Si oui encore, uniquement dans l'utilisation de picture.php?

Et sinon, pourquoi?

flipflip · 2006-01-24 08:54:28

Ca a l'air pas mal mais ça limite la compatibilité avec des versions de php antérieur à la 4.3 et apparament il y a un soucis avec IIS.

http://fr.php.net/file_get_contents

C'est un peu le même principe que le champ blob pour nu base de données sauf que là c'est pas dans la base ;)

nicolas · 2006-01-24 09:16:16

flipflip a écrit:
Ca a l'air pas mal mais ça limite la compatibilité avec des versions de php antérieur à la 4.3 et apparament il y a un soucis avec IIS.

Pour régler l'éventuel problème de IIS (il y en a qui l'utlise ?) il suffit d'utiliser readfile au lieu de file_get_contents.

http://fr.php.net/readfile

volcom · 2006-01-24 10:43:40

une petite question : ceci est pratique pour gérer la sécurité de l'affichage "brut" des images. Mais lorsqu'on affiche l'image dans picture.php, peut on se servir de cette astuce ? avec un include par exemple ?

nicolas · 2006-01-24 14:31:04

volcom a écrit:
une petite question : ceci est pratique pour gérer la sécurité de l'affichage "brut" des images. Mais lorsqu'on affiche l'image dans picture.php, peut on se servir de cette astuce ? avec un include par exemple ?

Je ne suis pas sûr d'avoir bien compris ta question mais je vais quand même tenter d'y répondre.
On ne se sert plus que de ce script pour afficher les images. On bloque l'accès au répertoire où se trouve les images (htaccess avec deny from all). Si on essaie d'accéder aux images directement ça ne fonctionnera donc pas. Après on inclut ce script partout et on ne peut donc pas voir des images d'une catégorie interdite.
Est-ce que cela répond à ta question ?

vimages · 2006-01-24 15:04:33

sans vouloir interférer dans la discution, quelques questions me viennent à l'esprit....

je suppose que rien ne change dans l'utilisation de PWG en ce qui concerne :
- l'affichage des vignettes,
- l'affichages des images moyennes avec leurs données provenant de la base,
- l'éventuelle évolution de présentation des catégories,

Mais quid des photos plein format (contenues dans pwg_high) ? seront-elles toujours accéssibles par les utilisateurs autorisés, de quelle manière ? Ces fichiers ne doivent pas être transformés ou réinterprétés d'aucune façon !
en annexe, la fontion pwg_high download (la disquette) sera t-elle toujours possible ?
Je crois comprendre que oui, mais je voudrais en être sur... :o)

En commentaire, je perçois cette idée comme une nouvelle piste tres intéressante pour améliorer la sécurité sans boulverser la gestion de nos galleries.

merci!

eric.

nicolas · 2006-01-24 15:25:35

vimages a écrit:
sans vouloir interférer dans la discution, quelques questions me viennent à l'esprit....

je suppose que rien ne change dans l'utilisation de PWG en ce qui concerne :
- l'affichage des vignettes,
- l'affichages des images moyennes avec leurs données provenant de la base,
- l'éventuelle évolution de présentation des catégories,

Mais quid des photos plein format (contenues dans pwg_high) ? seront-elles toujours accéssibles par les utilisateurs autorisés, de quelle manière ? Ces fichiers ne doivent pas être transformés ou réinterprétés d'aucune façon !
en annexe, la fontion pwg_high download (la disquette) sera t-elle toujours possible ?
Je crois comprendre que oui, mais je voudrais en être sur... :o)

En commentaire, je perçois cette idée comme une nouvelle piste tres intéressante pour améliorer la sécurité sans boulverser la gestion de nos galleries.

SI on met le sujet ici c'est justement pour avoir d'autres avis donc encore merci à toi Eric. Tu ne fais que nous mettre sur la bonne voie!
Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.

La seule chose qui empêche l'adoption de ce système sont les performances. A tester donc.

vimages · 2006-01-24 15:42:01

Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.

c'est assez simple, les dossiers pwg_high contiennent les photos en plein format, en ce qui me concerne, ce sont les photos destinées à être publiées.
Les utilisateurs autorisés à voir un dossier ont aussi, de fait, accés au dossier pwg_high inclu et peuvent télécharger les grosses photos.
Ma question/précision était que les photos contenues dans les dossiers pwg_high doivent pouvoir être téléchargées telles-que, sans qu'elles soient transformées d'aucune façon. ... une contrainter sans doute, mais je pense primordiale.

nicolas · 2006-01-24 17:58:48

vimages a écrit:
Je ne connais pas bien le focntionnement des photos plein format. Quel est le problème ? Elles sont bien dans le répertoire galleries ? Si oui on les gèrera de la même manière. Si on y accède directement alors il faudra faire des petites modifications.
c'est assez simple, les dossiers pwg_high contiennent les photos en plein format, en ce qui me concerne, ce sont les photos destinées à être publiées.
Les utilisateurs autorisés à voir un dossier ont aussi, de fait, accés au dossier pwg_high inclu et peuvent télécharger les grosses photos.
Ma question/précision était que les photos contenues dans les dossiers pwg_high doivent pouvoir être téléchargées telles-que, sans qu'elles soient transformées d'aucune façon. ... une contrainter sans doute, mais je pense primordiale.

Dans ce cas, à priori pas de problème.

Zepouille · 2006-01-30 17:20:13

Hello guys

je ne sais pas si c'est pertinent, mais ce qui me gène au niveau sécurité c'est ce genre de liens :
http://demo.phpwebgallery.net/galleries … ks/015.jpg

vu que le fichier est classé et stocké dans un répertoire, des petits malins peuvent toujours bypasser les users/password dans la base et accéder directement au fichier.

Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?

Zepouille

flipflip · 2006-01-30 19:25:38

je ne sais pas si c'est pertinent, mais ce qui me gène au niveau sécurité c'est ce genre de liens :
http://demo.phpwebgallery.net/galleries … ks/015.jpg

Il a déjà été proposé comme solution d'utiliser une génération de nom de facon aléatoire.

VDigital · 2006-01-30 19:26:00

Zepouille a écrit:
Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?

La réponse est de taille et de performance, de plus elle a été déjà évoquée.
Par contre, nos discussions nous orientent vers une solution de très loin plus simple.
A suivre... (On y viendra).

nicolas · 2006-02-02 21:15:52

VDigital a écrit:
Zepouille a écrit:
Mis à part des contraintes de taille de base/schema, qu'est qui empèche de stoker la photo directement dans un blob et donc sécuriser son accès via les users/pwd db ?
La réponse est de taille et de performance, de plus elle a été déjà évoquée.
Par contre, nos discussions nous orientent vers une solution de très loin plus simple.
A suivre... (On y viendra).

Je ne suis toujours pas convaincu de la pertinence de cette solution. J'ai la nette impression que l'on ferait chuter les performances ou du moins que l'on augmenterait les ressources consommées dans des proportions déraisonnables qui tendrait à rendre pwg plus consommatrice que phpbb. Horreur!!!!!!! Je ne veux pas être responsable de cette horreur mais pour te faire plaisir Vincent je vais essayer de te pondre le truc.

VDigital · 2006-02-02 21:32:28

nicolas, tu testes quand tu as le temps mais pas pour me faire plaisir...

Je n'apprécie pas les aspirateurs, mais je concède que quelqu'un récupère une image pour un usage personnel.
[HS]
Je suis plus orienté vers le partenariat, tu as de belles photos et les miennes te plaisent aussi, alors affiche une partie de mes photos dans ta galerie comme si elles étaient comme un site distant et je fais pareil avec une partie des tiennes.
Avec un petit renvoi, si vous appréciez ces photos allez donc aussi faire un tour chez... pour en voir plus.
[/HS]

Bref, malgré tout on pourra le proposer en option ou en MOD peut être... si ça tient la route.

mathiasm · 2006-02-06 01:40:14

Et on rejoint là le topic des services Web avec les notions de clé, soit le controle d'accès aux images...
A+

Piwigo.org

Annonce

#1 2006-01-24 08:34:09

[Evolution] Sécurité des images

nicolas, PhpWebTeam, par ailleurs a écrit:

Code:

#2 2006-01-24 08:54:28

Re: [Evolution] Sécurité des images

#3 2006-01-24 09:16:16

Re: [Evolution] Sécurité des images

flipflip a écrit:

#4 2006-01-24 10:43:40

Re: [Evolution] Sécurité des images

#5 2006-01-24 14:31:04

Re: [Evolution] Sécurité des images

volcom a écrit:

#6 2006-01-24 15:04:33

Re: [Evolution] Sécurité des images

#7 2006-01-24 15:25:35

Re: [Evolution] Sécurité des images

vimages a écrit:

#8 2006-01-24 15:42:01

Re: [Evolution] Sécurité des images

#9 2006-01-24 17:58:48

Re: [Evolution] Sécurité des images

vimages a écrit:

#10 2006-01-30 17:20:13

Re: [Evolution] Sécurité des images

#11 2006-01-30 19:25:38

Re: [Evolution] Sécurité des images

#12 2006-01-30 19:26:00

Re: [Evolution] Sécurité des images

Zepouille a écrit:

#13 2006-02-02 21:15:52

Re: [Evolution] Sécurité des images

VDigital a écrit:

Zepouille a écrit:

#14 2006-02-02 21:32:28

Re: [Evolution] Sécurité des images

#15 2006-02-06 01:40:14

Re: [Evolution] Sécurité des images

Pied de page des forums