sécuriser l'accès à mes fichiers image

Information importante

En raison d'un grand nombre d'inscriptions de spammers sur notre site, polluant sans relache notre forum, nous suspendons la création de compte via le formulaire de "sign up".

Il est néanmoins toujours possible de devenir adhérent•e en faisant la demande sur cette page, rubrique "Inscription" : https://www.drupal.fr/contact


De plus, le forum est désormais "interdit en écriture". Il n'est plus autorisé d'y écrire un sujet/billet/commentaire.

Pour contacter la communauté, merci de rejoindre le slack "drupalfrance".

Si vous voulez contacter le bureau de l'association, utilisez le formulaire disponible ici, ou envoyez-nous un DM sur twitter.

Submitted by yoyojo on

bonjour,

sur drupal, ilest parfaitement possible de sécuriser
l'accès à une ressource de type fichier image en
fonction de l'appartenance d'un utilisateur à un groupe
grâces aux "PERMISSIONS".

Le problème c'est que si je tape l'url d'un fichier image
directement sur le navigateur web, j'aurais accès à la ressource
peu importe ma politique d'accès implémentée dans drupal.

Comment dire à APACHE, d'interdire de lister, consulter les fichiers
dans un certain dossier mais qu'ils soient dispos pour drupal ?

Merci d 'avance

Forum : 
Support général
Version de Drupal : 
7.x
Tags : 
image
sécurité
accès

Soumis par vincent59 le 28 Août, 2014 - 14:24

Si on utilise le répertoire public on a effectivement accès au fichier (l'accès au répertoire est normalement interdit).

On peut créer un répertoire privé, via admin/config/media/file-system
Le chemin peut être en dehors de l'arborescence Drupal si on veut.
Il faut ensuite cocher la case qui permet à Drupal de "servir" les fichiers (et donc de contrôler leur accès).

Ensuite dans les types de contenu, sur les fichiers on peut choisir le répertoire privé ou public.

Drupal va générer une URL qui sera interprétée en passant via les contrôles d'accès.