Submitted by poine on
Bonjour,
J'en suis aux finitions de mon site et je vérifie sa sécurité.
J'ai trouvé une faille que je veux résoudre.
j'ai un type de contenu pour lequel les images doivent être strictement réservé aux abonné.
Tous les autres types sont publics, donc le réglage général de :
admin/config/media/file-system
est "fichiers publics" pour "méthode de téléchargement par défaut".
pour le type dont je veux protégé les images, le champ image est réglé sur "fichiers privés" dans "destination pour le transfert".
Il y a une faille qui permet aux non abonnés d'accéder à certaines images.
Je liste les 4 possibilités :
URL profondes images complètes :
Ex : http://www.example.com/sites/default/files/private/example.jpg
ok : le .htaccess bloque l'accès
URL profondes vignettes :
http://www.example.com/sites/default/files/private/styles/thumbnail/priv...
ok : le .htaccess bloque l'accès
URL système drupal images complètes :
Ex : http://www.example.com/system/files/example.jpg
ok : le réglage private bloque l'accès aux non abonnés
URL système drupal vignettes :
http://www.example.com/system/files/styles/thumbnail/private/example.jpg
FAILLE : ces images sont publiques, visibles même par les anonymes, et peuvent donc potentiellement être indexées par les moteurs de recherche.
Ma question est évidente : comment rendre les vignettes privées ? Accessoirement pourquoi drupal ne rend-il pas privé en même temps les images taille réelle et les styles générés en plus (thumbnail, medium, large...) ?
Merci à tous si vous m'aider à résoudre cette question pointue.
Bonjour, Donc, tu veux se
Permalien Soumis par zied.louhichi le 20 Novembre, 2012 - 01:08
Bonjour,
Donc, tu veux se proteger du hotlinking, c'est pas lié à drupal.
Voici un exemple de comment se protéger : http://www.brainhost.com/help/cpanel-questions/how-to-enable-hotlinking-...
Bien à toi.
Merci
Pardon mais j’ai déjà placé
Permalien Soumis par poine le 20 Novembre, 2012 - 08:49
Pardon mais j'ai déjà placé des .htaccess avec "Deny from all" dans TOUS les dossiers d'images.
Je ne vois pas ce que je peux faire de plus dans ce domaine.
Que vois-tu que je puisse faire de plus ? Merci.
Bonjour, Vérifie chez ton
Permalien Soumis par zied.louhichi le 20 Novembre, 2012 - 10:18
Bonjour,
Vérifie chez ton hébergeur, il se peut qu'il donne ce service, car certains le donne.
si non, voici une autre ressource qui peut t'aider:
http://kb.mediatemple.net/questions/1694/Prevent+hotlinking+with+a+.htac...
je sais pas si quelqu'un d'autre a une autre idée ?
Bonne chance,
Ecoute Zied, Je crains que
Permalien Soumis par poine le 20 Novembre, 2012 - 12:52
Ecoute Zied,
Je crains que nous ne nous comprenions pas.
Tu es développeur Drupal et je suis nouveau sur Drupal.
Je concède bien volontiers que je n'ai pas été assez clair dans ma première explication.
Oublions les URL profondes standards et les htaccess.
Concentrons-nous sur le système d'alias de Drupal, les pseudo adresses en system/files.
Donc ci-dessous je liste la visibilité des images par le chemin utilisant ces alias
Ex : http://www.example.com/system/files/example.jpg
Voilà ce que je constate selon les rôles utilisateurs Drupal pour mes images :
Taille réelle :
Tout est ok, c'est le paramétrage que je veux.
Maintenant les vignettes :
Il y a donc une faille pour les vignettes, qui ne devraient pas être visibles pour les anonymes et les authentifiés.
Donc tout cela n'a pas de rapport avec les htaccess, c'est évident.
Il doit y avoir un réglage Drupal mais je ne le trouve pas. Peut-être faut-il plonger dans le code, peut-être faut-il un module additionnel pour un contrôle plus fin des permissions, le fait est que j'aimerais résoudre ce tout petit problème.
Si quelqu'un a déjà constaté un problème similaire, qui relève un peu de la paranoïa je l'avoue ;) , merci de me dire si vous avez des pistes.