interdire acces fichiers attaches node pour anonymes

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Bonjour.
Les anonymes ne peuvent lire les nodes, l'authentification sur mon site drupal est obligatoire.
Par contre, les fichiers attachés des nodes ne nécessitent pas d'authentification eux.
Et ca me pose un gros pb de sécurité d'accès à mes contenus.

Comment empêcher aux anonymes de pouvoir ouvrir directement des fichiers attachés à des nodes et les envoyer sur la mire d'authentification avant de pouvoir les afficher ?

Merci collègues.

Version de Drupal : 

Merci bien pour ta réponse.
Malheureusement je ne trouve pas d'entree upload dans les menus que tu mentionnes.
J'ai une capture d'écran mais sauf erreur, je ne peux pas la déposer ici ??
Je suis allé dans "droits d'accès" où upload apparait, et rien n'est coché pour "anonymes"

Une autre idée ou piste ?
Merci

je ne trouve pas d’entree upload dans les menus que tu mentionnes

micka_web a seulement oublié une étape dans son chemin, l'entrée "droits d'accès"

dans «droits d’accès» où upload apparait, et rien n’est coché pour «anonymes»

eh bien peut-être faudrait-il préciser les choses : c'est en connaissant l'adresse du fichier qu'ils peuvent y accéder directement ? dans ce cas il faut passer le "système de fichiers" en "privé".

si ils accèdent à l'adresse du noeud, ne voient pas le contenu lui-même, mais voient le fichier attaché, je crois que la solution la plus simple c'est le module FileField (pour faire de l'attachement un champ) + Content Permission (pour empêcher les anonymes de voir ce champ).

Bonjour et tout d'abord merci pour les réponses.

Je confirme qu'il fait effectivement connaître l'url exacte du fichier pour y accéder.
Mais bon, nous hébergeons des fichiers internes sensibles donc je dois prévoir une sécurité supplémentaire.

-> dans ce cas il faut passer le «système de fichiers» en «privé».
Tu veux dire directement l'option "Privée - les fichiers sont transférés par Drupal."
Ca consiste en quoi pour que je comprenne bien ? Car actuellement ce sont les ACL sur le serveurs qui gèrent...

-> module FileField (pour faire de l’attachement un champ) + Content Permission (pour empêcher les anonymes de voir ce champ).

J'utilise déjà une couche de modules pour la gestion des accès de nodes, leur droit de modif et j'ai rajouté en plus un module spécifique de dépôt de fichiers hors node.
Du coup j'ai Coherent Access, WebFM...
Mais mes utilisateurs veulent du simple donc le simple module d'upload dans les nodes est prioritaire.