Bonsoir,

Essayez de mettre Pascal

Bonsoir

N'hésite pas à poster sur le forum aesecure et on poursuit la discussion là-bas.

Je suis en cet instant sur smartphone et ton url semble tronquée. Pour comprendre l'origine du blocage 403 il me faudrait l'URL complète.

Bonne soirée

Derrière le pc; je vois que ton URL est complète aussi voici une proposition : supprime le fichier /media/breezingforms/uploads/.htaccess et ton image sera alors accessible.

aeSecure n'aura pas bloqué l'upload mais "juste" bloqué une URL qui pointe vers ton dossier /uploads. L'objectif est de bloquer le pirate qui uploaderait quelque chose via BreezingForms et qui tente d'accéder juste après au fichier. Si l'upload était un virus (image.php.gif p.ex.) alors l'objectif du fichier .htaccess est de bloquer l'accès.

Ici, ce qui ne me semble pas immédiatement logique, c'est que tu tentes d'accéder à une image uploadée sans l'avoir, d'abord, déplacé. Laisser l'image dans le dossier /uploads me paraît étonnant mais peut-être que BF fonctionne ainsi.

Du coup, en supprimant le fichier, tu auras à nouveau accès à l'image mais, pour ce que j'ai écris ci-dessus, il y a une probabilité que quelqu'un uploade n'importe quoi; que ce soit mis dans ton dossier /uploads et que le malotru puisse alors utiliser l'URL vers le fichier pour n'importe quel usage.

Bonne soirée.

Merci Christophe pour ta réponse.

Du coup, tu me conseilles de faire quoi concrètement ?

Je peux paramétrer Breezingform pour que les fichiers soient uniquement des pdf ou jpeg. Est-ce utile ? Aujourd'hui les seuls fichiers acceptés sont : zip,rar,pdf,doc,xls,ppt,jpg,jpeg,gif,png

Je peux aussi déplacer le lieu où vont les documents téléchargés, les mettre à la racine du site par exemple. Est-ce également utile ?

Je précise également que ce lien de téléchargement ne sera pas public, juste disponible pour quelques personnes...mais je ne veux absolument pas laisser une faille sur mon site

Changer la dedtination des fichiers semble une bonne idée. L'URL serait alors inconnue des emmerd****.
Qu'en penses-tu Christophe?

La meilleure solution : mettre ce type de dossier en dehors du dossier /www (càd le dossier racine du site).

Personnellement, mes backups sont dans un dossier comme /backups alors que mon site web est, p.ex., dans /www/public_html. De cette manière, mes fichiers étant en dehors du site, ils ne seront jamais accessibles par URL.

Pour le dossier uploads, si cela pouvait être fait de la même manière, ce serait probablement la meilleure façon mais BF ne va pas aimer. Pourquoi ? Parce que tu nous as donné ci-dessus une URL vers le dossier upload et une image ==> BF a donc tenté d'afficher l'image par URL et du coup, si tu déplaces le dossier, BF sera dans l'incapacité d'afficher l'image ce qui ne va pas lui plaire visiblement.

Déplacer, donc, ne me semble pas possible avec BF.

Du coup, restreindre l'accès aux seuls fichiers autorisés est la meilleure solution (concept de la liste blanche).

Tu peux aussi, en supplément, récupérer le fichier /media/.htaccess qui a été créé par aeSecure et le copier dans le dossier /media/breezingforms/uploads/ et écraser le précédent .htaccess.

Bonne soirée.

Christophe.

Si j'ai bien compris le besoin de Rocky Rider, il faut que ces fichiers soient accessibles par url puisqu'il faudra pouvoir les télécharger. Les placer hors de la racine du site est dès lors peu envisageable.

Ils sont enregistrés dans ce dossier et renseignés automatiquement dans un tableur. Il faudra pouvoir les télécharger à partir de ce lien du tableur.

Oui c'est exactement ça, sachant que les fichiers seront tous sécurisés (enfin normalement) et au format PDF et jpeg. Le tableur qui permettra le téléchargement des liens ne sera pas public mais accessible que pour quelques personnes.

Alors risque ou pas risque ?

Salut

Dès lors qu'il n'est pas possible d'uploader des scripts; non, il n'y a aucun risque. Encore moins quand tu dis que le formulaire d'upload n'est accessible qu'à tes utilisateurs et pas en mode public.