Advanced search  

News:

cpg1.5.46 Security release - upgrade mandatory!
The Coppermine development team is releasing a security update for Coppermine in order to counter recently discovered vulnerabilities. It is important that all users who run version cpg1.5.44 or older update to this latest version as soon as possible.
[more]

Pages: [1]   Go Down

Author Topic: Protéger ses images par un .htaccess ?  (Read 8629 times)

0 Members and 1 Guest are viewing this topic.

Azrayen

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Gender: Male
  • Posts: 87
    • azrayen.net
Protéger ses images par un .htaccess ?
« on: September 05, 2005, 05:46:35 pm »

Hello,

Pour mon premier post sur ce forum, j'ai une question un peu casse-tête, avis aux serial coders ! ;)

Dans une gallerie CPG, on peut définir des permissions par groupe d'utilisateurs pour l'accès à certains albums, par exemple pour réserver à ses amis ses photos de vacances.

J'utilise cette fonction, et les albums privés sont bien invisibles sauf autorisation. En revanche, les fichiers images sont accessibles à quelqu'un qui en connaitrait ou devinerait l'URL (www.monsite.com/albums/nom_album/nom_image.jpg).
Je cherche à bloquer cette possibilité d'accès non autorisé par exemple par un .htaccess (facile) mais qui se comporterait de façon transparente pour l'utilisateur autorisé passant par l'interface CPG (c'est à dire, si dans CPG j'ai le droit d'accéder à la gallerie, je peux en voir les photos sans avoir à rentrer en plus de mon login coppermine, celui du .htaccess)

Les mesures contre le hotlinking sont sans effet (puisque l'URL commence bien par mon_site.com et non site_etranger.com).

Existe-t-il un moyen pour que le script de Coppermine outrepasse la protection .htaccess, ou à l'inverse pour que le .htaccess n'autorise que les requètes émanent du script CPG ??

J'ai consulté l'ensemble du support cpg 1.3.x standalone sans trouver d'autres réponses que "déjà discuté, faire une recherche"... Désolé si j'ai loupé LE sujet qui en parle vraiment, dans ce cas si quelqu'un remet la main sur le lien...

Merci d'avance,
Azy

PS : J'ai commencé à coder une solution mais c'est lourd, très lourd... Voici quand même l'idée, peut-être une piste ?
- albums protégés par un .htaccess (deny from all)
- edit des scripts de CPG pour récupération des variables $pic_url
- création d'image avec imagecreatefromjpeg() (qui fonctionne malgré le .htaccess) puis copie dans un fichier temporaire sans .htaccess
- remplacement de la valeur initiale de $pic_url (ou assimilé) pour la suite du script, qui affiche dès lors l'image temporaire.
>> Pb = Création de nombreux fichiers jpg temporaires qu'il faudra ensuite effacer (avec quel délai ??) sinon on explose son quota disque.
>> Pb 2 = nombreux scripts à modifier, et j'ai des soucis pour faire fonctionner le index.php (vignette des albums) avec cette solution.


Logged

Titooy

  • VIP
  • Coppermine addict
  • ***
  • Offline Offline
  • Posts: 736
    • under construction...
Re: Protéger ses images par un .htaccess ?
« Reply #1 on: September 05, 2005, 07:13:38 pm »

Actuellement, Coppermine n'est pas du tout conçu dans une optique de sécurité.

Je m'étais aussi lancé dans une réflexion à ce sujet et ma conclusion était que la seule manière de vraiment sécuriser une galerie est de mettre les images dans un répertoire inaccessible depuis le web (ou au moins, pas l'endroit standard) et de les appeler avec un script php qui vérifie les autorisations.

Ca ne me paraît pas le bout du monde à coder mais je ne m'y suis pas encore lancé.
Logged

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Protéger ses images par un .htaccess ?
« Reply #2 on: September 05, 2005, 08:05:18 pm »

Titooy,
Quote
Actuellement, Coppermine n'est pas du tout conçu dans une optique de sécurité.
C'est dommage finalement !
Ceci dit une très faible protection consiste en quelques lignes Javascript comme "pas de click droit", "pas de sauvegarde IE" ou mettre les images dans un Flash. On peut avoir la conscience d'éliminer au moins 80% des internautes ! Les 20% restant se moquent sans doute des images 8)
En tout cas personne ne pourra jamais empècher les captures d'écran  ;)

 Alors constatons qu'il n'y a que le filigrane de réellement dissuasif. (Watermark : http://forum.coppermine-gallery.net/index.php?topic=13402.0 )

Quote
Ca ne me paraît pas le bout du monde à coder mais je ne m'y suis pas encore lancé.
Personne ne doute qu'un jour tu démarrera ! Néanmoins tout le monde attends avec intérêt ;D

PYAP
Logged

Azrayen

  • Coppermine regular visitor
  • **
  • Offline Offline
  • Gender: Male
  • Posts: 87
    • azrayen.net
Re: Protéger ses images par un .htaccess ?
« Reply #3 on: September 05, 2005, 09:22:50 pm »

C'est dommage finalement !
Je suis bien d'accord, encore que là le pb ne soit pas spécifique à CPG...

Ceci dit une très faible protection consiste en quelques lignes Javascript comme "pas de click droit", "pas de sauvegarde IE" ou mettre les images dans un Flash. On peut avoir la conscience d'éliminer au moins 80% des internautes ! Les 20% restant se moquent sans doute des images 8)
En tout cas personne ne pourra jamais empêcher les captures d'écran  ;)

Euh, c'est pas exactement la question : je suis bien conscient qu'il est impossible d'empêcher un utilisateur un tant soit peu averti de sauvegarder une image affichée par le navigateur. Et si j'autorise un membre à voir une image, peu m'importe qu'il l'enregistre ou pas... j'ai d'ailleurs laissé activé le DL en fichier ZIP.
Là, je voudrais empêcher un internaute qui n'est pas autorisé à accéder à certains albums dans coppermine d'accéder aux images de ces albums en "devinant" leur URL.

M'enfin si c'est trop complexe, tant pis, c'était plus une question de culture générale, je n'ai pas de photo précieuse à ce point... ou alors si mais elles ne sont pas sur le Net !! :D

Azy
Logged

TyL

  • Coppermine newbie
  • Offline Offline
  • Posts: 17
Re: Protéger ses images par un .htaccess ?
« Reply #4 on: November 02, 2005, 10:33:21 pm »

hello !

Personne n'a trouvé de solution alors ?? Moi celle du "flash" m'interesserait. QQ'un a qq pistes à me donner ?

Merci d'avance !
Logged

Pascal YAP

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 13833
  • Hello World :-)
    • CPG 1.5.x ExperiMental website
Re: Protéger ses images par un .htaccess ?
« Reply #5 on: November 02, 2005, 10:43:53 pm »

Bonjour,
Quote
Personne n'a trouvé de solution alors ??
Bah non !
Quote
Moi celle du "flash" m'interesserait.
Pas de chance il n'y a pas de support FLASH dans notre forum Coppermine !  ;)
Quote
QQ'un a qq pistes à me donner ?
Comme nous le signalait Titooy il y a quelques temps, la meilleure solution pour ne pas se faire pomper ses images est de ne pas les mettre en ligne  ;D

PYAP
Logged

autoktone

  • Coppermine newbie
  • Offline Offline
  • Gender: Male
  • Posts: 3
    • Création web
Re: Protéger ses images par un .htaccess ?
« Reply #6 on: September 10, 2010, 05:54:05 am »

Salut,
juste pour avoir votre avis, le meilleur résultat que j'ai obtenu avec la protection des photos sous coppermine est http://barboteurs.fr.
En effet, les photos concernant des enfants pour des séances de piscine ne doivent pas être accessibles pour les personnes en dehors de la famille, c'est donc important de protéger au moins les répertoires...
J'ai bien essayé de mettre le répertoire d'albums en dehors du répetoire public, mais évidemment, il est dur de remonter un niveau qui n'est pas vu par le serveur web !!
Bon, pour ce qui est des accès directs aux photos en elles mêmes (ils faut encore connaitre le chemin exact et donc vraiment les chercher parmi tous les titres de photos possibles...), je ne vois pas sinon même coppermine ne pourra y accéder... Me trompe-je ?
Merci pour vos avis et tests !
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie
Re: Protéger ses images par un .htaccess ?
« Reply #7 on: September 10, 2010, 07:21:53 am »

bonjour,
je ne comprends pas bien le sens de votre message. Votre galerie demande une identification pour pouvoir y accéder, soit, mais je ne vois pas bien ce que vous avez fait d'autre...
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

autoktone

  • Coppermine newbie
  • Offline Offline
  • Gender: Male
  • Posts: 3
    • Création web
Re: Protéger ses images par un .htaccess ?
« Reply #8 on: September 11, 2010, 01:33:28 am »

bonjour,
je ne comprends pas bien le sens de votre message. Votre galerie demande une identification pour pouvoir y accéder, soit, mais je ne vois pas bien ce que vous avez fait d'autre...

Désolé si je n'ai pas été assez clair, j'ai tenté de protéger au moins l'accès aux répertoires d'albums et le mieux que j'ai obtenu est que si quelqu'un désire récupérer des photos sans être enregistré, il lui faudra y accéder uniquement en connaissant le chemin exact. Bon on peut y arriver avec soit beaucoup de patience soit un petit programme. Mais si je protège plus même coppermine n'affiche pas les photos...
Donc je vous demande ce que vous en pensez (vous pouvez essayer d'accéder directement aux photos) et si vous avez trouvé de meilleures solutions ? A part réécrire un nouveau script qui serait capable d'afficher des images protégées dans un répertoire non public (j'avais commencé mais ça fait un paquet de boulot, je me suis donc remis sur coppermine). Je pourrais aussi compléter pour le hotlinking mais c'est aussi une illusion... Et puis il y a certainement des trucs à faire du côté des POST, GET et compagnie pour rentrer dans un site coppermine  :(.
A+
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie
Re: Protéger ses images par un .htaccess ?
« Reply #9 on: September 11, 2010, 07:29:29 am »

ok, je comprends mieux.
Avez vous essayé les albums protégés par mots de passe ?
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog

autoktone

  • Coppermine newbie
  • Offline Offline
  • Gender: Male
  • Posts: 3
    • Création web
Re: Protéger ses images par un .htaccess ?
« Reply #10 on: September 11, 2010, 12:55:02 pm »

Bonjour François,
dans la mesure où de toutes façons, les utilisateurs doivent être loggés et qu'il n'y a pas d'inscription possible, l'ajout d'un mot de passe supplémentaire me parait superflu du côté de l'interface ou même en htaccess.
Par contre, je m'inquiète plus pour les accès directs au fichiers dans la barre d'adresse ou les hacks divers de code coppermine. Je ne suis pas encore passé sur 1.5.
Des idées ? avez vous essayé d'extraire des photos depuis le site ?
Merci
Logged

François Keller

  • Moderator
  • Coppermine addict
  • ****
  • Country: fr
  • Offline Offline
  • Gender: Male
  • Posts: 9093
  • aka Frantz
    • Ma galerie
Re: Protéger ses images par un .htaccess ?
« Reply #11 on: September 11, 2010, 01:54:05 pm »

j'ai essayé sans y arriver, mais je ne suis pas un expert en piratage de site.
Logged
Avez vous lu la DOC ? la FAQ ? et cherché sur le forum avant de poster ?
Did you read the DOC ? the FAQ ? and search the board before posting ?
Mon Blog
Pages: [1]   Go Up
 

Page created in 0.022 seconds with 20 queries.