Sécurité des données uploadées dans le répertoire images

Réduire
X
  • Filtrer
  • Heure
  • Afficher
Tout effacer
nouveaux messages

  • [Problème] Sécurité des données uploadées dans le répertoire images

    Bonsoir !
    J'ai fait un site joomla 2.5.9, hébergement mutualisé chez hostgator.
    Ce site comporte un certain nombre d'articles.
    Ces articles sont accessibles aux utilisateurs en fonction des droits que je leur accorde.
    Par exemple les articles traitant du "foot", comportant des vidéos, des photos de foot ne seront accessibles qu'aux utilisateurs qui ont les droits "foot".
    Sur un de ces articles il y a par exemple la video : monsite.com/images/video/super_but.wmv et l'image monsite.com/images/pic/ballon.jpg

    J'ai mis les classiques droits sur les données (644) et répertoires (755)
    J'envisage de me servir de crawlprotect...

    Ma question est :
    est-il possible de protéger l'accès à mes fichiers ?
    C'est à dire :
    Que seuls les utilisateurs logués avec un droit sur "foot" puissent voir les fichiers "foot" et qu'ils ne voient pas les autres fichiers ?
    -> solution partielle : j'ai bien créé des menus et des articles avec des droits différents donc seuls les utilisateurs avec les droits "foot" peuvent voir les articles dans lesquels sont intégrés les vidéos et images de "foot".
    Par contre TOUT LE MONDE semble pouvoir accéder à mes fichiers du moment que quelqu'un leur communique l'adresse du fichier (comme : monsite.com/images/video/lebutdusiecle.wmv )

    NB. A priori, aucune image ni vidéo ne devrait être visible par qui que ce soit de non enregistré sur le site et n'ayant aucun droit spécifique. -> je pourrai peut être mettre déjà des droits 640 et 750 (enlever execution et lecture pour "public") ?
    NB2. j'ai PLEIN de droits différents (une 20aine pour le moment) et toutes les combinaisons sont possibles : foot seulement, foot + hand, foot + rubgy, rugby+pêche........ Et pas question que le rugby-pêche puisse voir le hockey

    Si c'est impossible de le faire avec des fichiers stockés dans le répertoir images et des sous répertoires, alors que peut-on faire ?

    Merci pour l'expression de votre sagacité future

  • #2
    Re : Sécurité des données uploadées dans le répertoire images

    Tiens ça pourrait se résumer ainsi :
    Comment faire pour que les fichiers uploadés dans le répertoire images (vidéo perso, images perso...) ne soit accessibles qu'en passant par un article mais jamais par une url directe sur le fichier ?
    (Je me demande si en changeant les droits des répertoires et des fichiers et en enlevant tous les droits pour "public" si ça ne marcherait pas...)

    Commentaire


    • #3
      Re : Sécurité des données uploadées dans le répertoire images

      Bonjour,

      J'avais posé la même question et obtenu la réponse par Robertg, voir ce post :

      http://forum.joomla.fr/showthread.ph...ent-priv%C3%A9

      Commentaire


      • #4
        Re : Sécurité des données uploadées dans le répertoire images

        Merci pour ce lien !
        Pour cela, il te faut un gestionnaire de téléchargement capable soit de bloquer avec un .htaccess, soit de stocker tes fichiers dans un répertoire hors du site, c'est à dire au même niveau par exemple que le dossier qui contient le site, et donc inaccessible par URL.
        Pourrais-tu me dire comment tu as pu mettre en place cette deuxième solution? Pour moi si j'ai un document quelque part, j'y fais référence dans mon article par le biais... d'une URL...
        Suis-je si ignorant?
        Je creuse la question du htaccess et j'essayerai de poster le résultat pour les futurs générations.
        (J'ai tenté entre temps de modifier les droits sur le répertoire : une cata

        Commentaire


        • #5
          Re : Sécurité des données uploadées dans le répertoire images

          Envoyé par c.upac Voir le message
          Merci pour ce lien !

          Pourrais-tu me dire comment tu as pu mettre en place cette deuxième solution? Pour moi si j'ai un document quelque part, j'y fais référence dans mon article par le biais... d'une URL...
          Suis-je si ignorant?
          Je creuse la question du htaccess et j'essayerai de poster le résultat pour les futurs générations.
          (J'ai tenté entre temps de modifier les droits sur le répertoire : une cata
          Pour être honnête, finalement je ne l'ai pas implémenté, mais je crois que si tu crées un dossier au même niveau que le site (à sa racine), tu peux y mettre des choses que tu accèdes comme tu accèdes par exemple à ce que tu as dans tonsite/images/stories. Et comme ce dossier n'est pas dans le site, une URL ne peut pas l'atteindre.

          Tout compte fait, je vais peut-être essayer de le faire pour mon site.

          Commentaire

          Annonce

          Réduire
          1 sur 2 < >

          C'est [Réglé] et on n'en parle plus ?

          A quoi ça sert ?
          La mention [Réglé] permet aux visiteurs d'identifier rapidement les messages qui ont trouvé une solution.

          Merci donc d'utiliser cette fonctionnalité afin de faciliter la navigation et la recherche d'informations de tous sur le forum.

          Si vous deviez oublier de porter cette mention, nous nous permettrons de le faire à votre place... mais seulement une fois
          Comment ajouter la mention [Réglé] à votre discussion ?
          1 - Aller sur votre discussion et éditer votre premier message :


          2 - Cliquer sur la liste déroulante Préfixe.

          3 - Choisir le préfixe [Réglé].


          4 - Et voilà… votre discussion est désormais identifiée comme réglée.

          2 sur 2 < >

          Assistance au forum - Outil de publication d'infos de votre site

          Compatibilité: PHP 4.1,PHP4, 5, 6DEV MySQL 3.2 - 5.5 MySQLi from 4.1 ( @ >=PHP 4.4.9)

          Support Version de Joomla! : | J!3.0 | J!2.5.xx | J!1.7.xx | J!1.6.xx | J1.5.xx | J!1.0.xx |

          Version française (FR) D'autres versions sont disponibles depuis la version originale de FPA

          UTILISER À VOS PROPRES RISQUES :
          L'exactitude et l'exhaustivité de ce script ainsi que la documentation ne sont pas garanties et aucune responsabilité ne sera acceptée pour tout dommage, questions ou confusion provoquée par l'utilisation de ce script.

          Problèmes connus :
          FPA n'est actuellement pas compatible avec des sites Joomla qui ont eu leur fichier configuration.php déplacé en dehors du répertoire public_html.

          Installation :

          1. Téléchargez l'archive souhaitée : http://afuj.github.io/FPA/

          Archive zip : https://github.com/AFUJ/FPA/zipball/master

          2. Décompressez le fichier de package téléchargé sur votre propre ordinateur (à l'aide de WinZip ou d'un outil de décompression natif).

          3. Lisez le fichier LISEZMOI inclus pour toutes les notes de versions spécifiques.

          4. LIRE le fichier de documentation inclus pour obtenir des instructions d'utilisation détaillées.

          5. Téléchargez le script fpa-fr.php à la racine de votre site Joomla!. C'est l'endroit que vous avez installé Joomla et ce n'est pas la racine principale de votre serveur. Voir les exemples ci-dessous.

          6. Exécutez le script via votre navigateur en tapant: http:// www. votresite .com/ fpa-fr.php
          et remplacer www. votresite .com par votre nom de domaine


          Exemples:
          Joomla! est installé dans votre répertoire web et vous avez installé la version française du fichier FPA:
          Télécharger le script fpa-fr.php dans: /public_html/
          Pour executer le script: http://www..com/fpa-fr.php

          Joomla! est installé dans un sous-répertoire nommé "cms" et vous avez installé la version française du fichier FPA:
          Télécharger le script fpa-fr.php dans: /public_html/cms/
          Pour executer le script: http://www..com/cms/fpa-fr.php

          En raison de la nature très sensible de l'information affichée par le script FPA, il doit être retiré immédiatement du serveur après son utilisation.

          Pour supprimer le script de votre site, utilisez le lien de script de suppression fourni en haut de la page du script. Si le lien de suppression échoue pour supprimer le script, utilisez votre programme FTP pour le supprimer manuellement ou changer le nom une fois que le script a généré les données du site et le message publié sur le forum. Si le script est toujours présent sur le site, il peut être utilisé pour recueillir suffisamment d'informations pour pirater votre site. Le retrait du script empêche des étrangers de l'utiliser pour jeter un oeil à la façon dont votre site est structuré et de détecter les défauts qui peuvent être utilisé à vos dépends.
          Voir plus
          Voir moins
          Travaille ...
          X