Annonce

#31 2006-11-30 00:09:22

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Concernant le 'bug' de reprise de  @getimagesize via le mod secureImage

Est-ce que je suis sur la bonne voie ? (si c'est le cas on aura peut être le même pb lorsque la picture n'est pas une picture)

Dans picture.php on a :

$picture[$i]['src_file_system'] = $picture[$i]['src'];
  if ( ! url_is_remote($picture[$i]['src']) )
  {
    $picture[$i]['src'] = get_root_url(). $picture[$i]['src'];
  }

Et plus bas on a un

$taille_image = @getimagesize($picture['current']['src_file_system']);

Si j'ai bien compris, toute fonction référant l'url réelle sera en échec.

Je suppose qu'il faut réintégrer ce getimagesize comme une fonction de getFile, non ?

Est-ce que je suis complétement ou un peu à côté de la plaque ?

Hors ligne

#32 2006-11-30 01:39:40

aurelien
Membre
2006-11-26
41

Re: Pb de securité avec PhpWebGallery

damien_4 a écrit:

Et si quelqu’un devine le répertoire plus le nom d’une photos ?

Exemple : je suis allé au Japon, il y a des chances que www.monsite/galleries/japon/001tokyo.jpg existe ! (ou pas loin).

Damien

Il faut quand même se rappeller la définition première du web : c'est prévu pour partager de l'information avec tout le monde. Si tu veux être sûr de la confidentialité de tes données, elles n'ont rien à faire sur un site web, c'est pas vraiment l'usage de base...

Sinon, en restant réaliste, quelle est la probabilité pour que quelqu'un s'amuse à essayer des combinaisons de noms possible (pendant un /certain/ temps) tout ça pour voir ta trombine sur fond de Tokyo ?

Hors ligne

#33 2006-11-30 07:11:05

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Partager de l'information, certes, mais pas forcément avec tout le monde ;). Par contre, je suis d'accord, ce n'est pas nécessaire pour tout le monde. Moi personnellement, ma gallerie est personnelle, c'est juste un moyen de mettre à disposition des photos de famille ou d'amis, que je ne veux pas que monsieur X puisse voir...

@ramunt: Oui c'est bien ça. getimagesize a besoin d'un accès direct vers l'image. Donc il faudrait changer un peu le tout pour que picture...src_file_system ne fasse pas usage de getFile.php (à priori j'avais regardé, il n'y en avait pas besoin)...

Je n'ai pas encore réctifié par manque de temps (j'ai repéré le problème, mais après faut un minimum vérifier que tout va bien, porter ça sous 1.5.2 [à priori je ne pense pas que cette modification sera particulièrement périlleuse pour l'ancienne version], etc.).

Je m'absenterai pour quelques jours, je pense que d'ici lundi j'aurai mis en ligne une version corrigée...

Bonne fin de semaine donc et bon weekend :).

Hors ligne

#34 2006-12-02 23:28:51

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Nouveau BUG, beaucoup plus embêtant.

Lorsque l'on consulte les commentaires (accueil/menu/commentaires), les miniatures s'affichent bien, mais ... lorsque l'on clique dessus il n'y a que l'image qui est chargée. On ne charge plus l'encadrement, les commentaires, les métas données .....

Dernière modification par ramunt (2006-12-02 23:34:35)

Hors ligne

#35 2006-12-02 23:38:57

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Bonsoir,

en effet. J'ai rajouté une ligne en trop, et je ne sais pas trop pourquoi. La deuxième modification demandée dans le fichier comments.php (celle qui redéfinit la variable url) est à priori à ignorer.

Normalement ceci n'entraînera pas de problèmes ailleurs. Merci d'avoir signalé le souci.

Hors ligne

#36 2006-12-02 23:59:45

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Ca c'est de l'ultra rapide !

Merci ça marche effectivement beaucoup mieux.

As-tu eut le temps de regarder pour la taille des images ?

Hors ligne

#37 2006-12-03 00:04:30

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Je sais comment le régler oui... Mais là je vais me coucher :D...

Ce sera pour demain, ou faute de temps (j'ai d'autres trucs à faire :) ), pour plus tard, mais pas trop...

Bonne nuit

Hors ligne

#38 2006-12-03 01:12:10

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Donc il y a effectivement un pb lorsque l'objet affiché n'est pas une image.
Dans ce cas, il y a une disquette pour télécharger l'objet, mais elle pointe vers l'url directe.

Je suppose que ce pb est du même type que pour le getsize.

@+@

Hors ligne

#39 2006-12-03 12:30:44

aurelien
Membre
2006-11-26
41

Re: Pb de securité avec PhpWebGallery

acp a écrit:

Partager de l'information, certes, mais pas forcément avec tout le monde ;)

Je veux pas jouer au rabat-joie, mais si justement, avec tout le monde quelque que soit ses outils informatiques (quelque que soit le système d'exploitation et quelque que soit le navigateur aux normes).

Après ça n'est peut-être pas ce que tu désires, mais dans ce cas ton site web n'en est plus vraiment un ;-)

Hors ligne

#40 2006-12-03 12:56:12

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Aurélien, je t'ai reconnus petit troll ... S'il te plait pas sur forum.phpwebgallery ....

Pour faire court, tu as raison, ce n'est pas des sites web .... En fait ce n'est même pas des photos ....

Puisque une photo c'est aussi fait pour être montrée ... En suivant ta logique, , puisqu'on ne veut pas la montrer ,ce n'est pas une photo ;-)

S'il te plait on cherche des solutions à un besoin ... et non pas comment se passer du besoin.

Merci

Dernière modification par ramunt (2006-12-03 13:04:17)

Hors ligne

#41 2006-12-03 13:10:57

Shilda
Membre
Montpellier, France
2006-12-03
29

Re: Pb de securité avec PhpWebGallery

PWG a besoin de pouvoir accéder aux photos par HTTP, c'est le principe de base. Après un malin peut chercher à y accéder sans passer par PWG... Pour du HTTP une parade efficace est d'interdire le listage des répertoires et de renommer vos fichiers. Perso je jouerai pas avec Http_Referer c'est pas spécialement standard.

Pour reprendre la question d'origine :

Monsieur Dusnob a écrit:

comment pourrais-je empêcher l'accès direct aux fichiers des catégories réelles sans passer par phpwebgallery, simplement en tapant l'adresse dans la barre d'adresse du navigateur ?

La réponse prévue pour ce genre de choses c'est HTTPs. Ça n'a pas été crée pour rien, si on veut de l'authentification pour sécuriser un site web, c'est là pour ça. Mais franchement, qui va se prendre la tête à mettre en place un HTTPs pour une galerie de photos ? Et du coup, si n'importe qui peut accéder à site.com/pwg/galeries/album/photo01.jpeg, ah ben c'est un « problème de sécurité »...

On peut aussi bidouiller jusqu'à l'avoir plus ou moins recréé... J'ai pas regardé en détail secureImage mais l'idée semble plus ou moins de faire le boulot d'HTTPs.

Dernière modification par Shilda (2006-12-03 13:51:35)

Hors ligne

#42 2006-12-03 14:00:18

acp
Membre
1970-01-01
155

Re: Pb de securité avec PhpWebGallery

Hmm, je ne suis pas un spécialiste du web, donc je peux me tromper, mais à mon avis il y a erreur. Certes le but du web est de mettre à disposition l'information à tous, quelque soit les outils qui sont utilisés, là on est d'accord... Donc en gros, peu importe l'aspect technique de la chose, mais il ne doit en aucun cas limiter l'accès à l'information publiée.

Le problème ici est que celui qui publie l'information veut y limiter l'accès à certains individus ce qui ne semble pas contraire à la définition du site web, dixit wikipedia ou le W3C ( http://www.w3.org/Consortium/mission ) et http://www.w3.org/Security/Faq/wwwsf5.html

Pour ce qui est de l'usage de "grands mots" tels que "problème de sécurité", il n'y pas que des étudiants/ingénieurs en informatique qui font usage de PHPWG donc c'est tout à fait compréhensible, et on ne peut pas vraiment leur en vouloir. Le problème est que PHPWG est légèrement incohérent en ce qui concerne les mécanismes d'authentification qu'il propose, puisqu'il semble (aux yeux des simples utilisateurs qui ne veulent pas vraiment comment tout cela fonctionne) présenter l'authentification (du moins celle faites par php) comme "protégeant" des accès non-autorisés.

Hors ligne

#43 2006-12-03 14:48:39

Shilda
Membre
Montpellier, France
2006-12-03
29

Re: Pb de securité avec PhpWebGallery

Tu as raison sur les points :
- il n'y pas que des étudiants/ingénieurs en informatique qui font usage de PHPWG donc c'est tout à fait compréhensible, et on ne peut pas vraiment leur en vouloir ;
- Le problème est que PHPWG est légèrement incohérent en ce qui concerne les mécanismes d'authentification qu'il propose

Par contre pour le point :
- peu importe l'aspect technique de la chose, mais il ne doit en aucun cas limiter l'accès à l'information publiée. VERSUS celui qui publie l'information veut y limiter l'accès à certains individus ;
ça dépend de ce qu'on appelle « site web », c'est vrai que je n'ai pas été clair sur ce que je voulais dire.  Je parlais de HTTP simple, sans HTTPs.

Justement, sur le premier lien que tu donnes
http://www.w3.org/Consortium/mission
ce paragraphe devrait mettre tout le monde d'accord :

Trust and Confidence

Ultimately, for the Web to be a useful medium for social transactions, people must be able to trust other parties who have earned their trust. While technology cannot guarantee trust, it should enable secure transactions with trusted parties, be they people, organizations, or services. One of the long-term goals of W3C is thus to promote technologies that enable a more collaborative environment, a Web where accountability, security, confidence, and confidentiality are all possible, and where people participate according to their individual privacy requirements and preferences.

Puisqu'ils parlent en fait d'HTTPs. Apache propose aussi une gestion des accès (.htacces et htadm), mais HTTPs et SSL ont pris le pas dessus un peu partout. Là le patron peut toujours s'accrocher pour récupérer les photos de la dernière beuverie !

Pour synthétiser : secureImage peut satisfaire ceux qui ne veulent pas se contenter de renommer et interdire le listage en HTTP mais n'ont pas accès à / ne savent pas installer HTTPs. Mais in fine pour authentifier des utilisateurs le mieux serait de l'utiliser ;-)

Hors ligne

#44 2006-12-03 14:51:19

VDigital
Former Piwigo Team
Montpellier (FR)
2005-05-04
15127

Re: Pb de securité avec PhpWebGallery

acp a écrit:

Pour ce qui est de l'usage de "grands mots" tels que "problème de sécurité", il n'y pas que des étudiants/ingénieurs en informatique qui font usage de PHPWG donc c'est tout à fait compréhensible, et on ne peut pas vraiment leur en vouloir. Le problème est que PHPWG est légèrement incohérent en ce qui concerne les mécanismes d'authentification qu'il propose, puisqu'il semble (aux yeux des simples utilisateurs qui ne veulent pas vraiment comment tout cela fonctionne) présenter l'authentification (du moins celle faites par php) comme "protégeant" des accès non-autorisés.

???
Explique et détaille ton propos.

8-)


Vincent -« Plus vidéaste averti que photographe amateur... »
La galerie - Le blog   

Piwigo est une application libre de gestion de photos en ligne.

Hors ligne

#45 2006-12-03 14:59:49

ramunt
Membre
2005-05-11
51

Re: Pb de securité avec PhpWebGallery

Shilda a écrit:

PWG a besoin de pouvoir accéder aux photos par HTTP, c'est le principe de base. Après un malin peut chercher à y accéder sans passer par PWG... Pour du HTTP une parade efficace est d'interdire le listage des répertoires et de renommer vos fichiers.

Cela semble en effet suffisant pour mon besoin.

Shilda a écrit:

Pour reprendre la question d'origine :

Monsieur Dusnob a écrit:

comment pourrais-je empêcher l'accès direct aux fichiers des catégories réelles sans passer par phpwebgallery, simplement en tapant l'adresse dans la barre d'adresse du navigateur ?

La réponse prévue pour ce genre de choses c'est HTTPs. Ça n'a pas été crée pour rien, si on veut de l'authentification pour sécuriser un site web, c'est là pour ça.

Heu, non .... SSL permet juste de sécuriser la transaction avec le serveur pour éviter une interception. Il permet principalement d'authentifier le serveur, de garantir la confidentialité des données échangées et l'intégrité de ces mêmes données .... Mais un accès SSL ne t'enpécherait nullement un accès direct aux photos.

shilda a écrit:

Mais franchement, qui va se prendre la tête à mettre en place un HTTPs pour une galerie de photos ?

Je suis d'accord avec toi ... à part pour les pro de la photo, mais ce n'est pas le pb de pwg ...

shilda a écrit:

On peut aussi bidouiller jusqu'à l'avoir plus ou moins recréé... J'ai pas regardé en détail secureImage mais l'idée semble plus ou moins de faire le boulot d'HTTPs.

Encore une fois non ... (désolé) SSL c'est surtout de la crypto dans l'échange de données tel que l'authentification.

acp a écrit:

Hmm, je ne suis pas un spécialiste du web, donc je peux me tromper, mais à mon avis il y a erreur. Certes le but du web est de mettre à disposition l'information à tous, quelque soit les outils qui sont utilisés, là on est d'accord...

Pas d'accord ... (désolé) ... Que ce soit l'objectif de pwg, ça je ne reviendrai pas dessus car il me semble que c'est un choix initial qui a déjà été discuté ailleurs.
Par contre l'objectif du web, non ... pas à "tous". Exemple vous n'accédez pas à mes relevés de compte en banque ...
Pour moi, l'intérêt principal du web aujourd'hui est la mutualisation d'un support jusqu'aux couches hautes du modèle OSI. Cela évite simplement que chaque appli soit obligé de déployer ses propres moyens pour un échange C/S. On ne réinvente pas la roue, on ne refait pas nos propre route pour notre voiture ... Mais ma voiture .... je la ferme à clé.

acp a écrit:

Donc en gros, peu importe l'aspect technique de la chose, mais il ne doit en aucun cas limiter l'accès à l'information publiée.

Heureusement que si .... hormis la banque, je pourrais évoquer les échanges inter-entreprises, ma messagerie ... et aussi tout simplement ce que l'on peut qualifier de web marchand ....  Pour revenir aux photos, des professionnels de la photo, vendent leurs photos via internet ... (ce n'est pas l'objectif de pwg)

Autre exemple avec la photo : Lorsque j'envoie des photos chez un développeur comme par exemple photoservice, pixmania, photoways, etc .... je peux toujours les consulter, les modifier, les re-commander ... pourtant heureusement je suis le seul à pouvoir y accéder.

acp a écrit:

Le problème ici est que celui qui publie l'information veut y limiter l'accès à certains individus ce qui ne semble pas contraire à la définition du site web, dixit wikipedia ou le W3C ( http://www.w3.org/Consortium/mission ) et http://www.w3.org/Security/Faq/wwwsf5.html

Ok, pour le terme 'limiter'. Mais pour ma part, l'objectif n'est pas de limiter l'accès à certains individus ... Car je suis conscient que la seule 'haute' sécurité valable c'est de ne pas les mettre sur Internet, mais qui voudrait bien avoir les photos de mes filles, à part ma famille ?.....

MAIS  limiter aux les robots OUI ...   les yahoo, google & co qui stockent et stockent et que l'on ne peut pas maîtriser une fois qu'ils ont récupérer le contenu. Les fonctions très intrusives de google ont déjà été maintes fois évoquée .... Je ne les maîtrise pas ....

Il y a environ 3 ans, aviez-vous entendus parler de cette jeune femme qui lors d'un entretien d'embauche s'était vu présenter son blogue qui était pourtant effacé depuis plusieurs années ....

Les photos de mes filles doivent rester dans un cercle restreint ...

acp a écrit:

Le problème est que PHPWG est légèrement incohérent en ce qui concerne les mécanismes d'authentification qu'il propose, puisqu'il semble (aux yeux des simples utilisateurs qui ne veulent pas vraiment comment tout cela fonctionne) présenter l'authentification (du moins celle faites par php) comme "protégeant" des accès non-autorisés.

Oui, il serait peut être judicieux de prévenir lors de l'installation;

Dernière modification par ramunt (2006-12-03 15:22:24)

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact