Protéger ses images par un .htaccess ?

[Azrayen]

Hello,

Pour mon premier post sur ce forum, j'ai une question un peu casse-tête, avis aux serial coders !

Dans une gallerie CPG, on peut définir des permissions par groupe d'utilisateurs pour l'accès à certains albums, par exemple pour réserver à ses amis ses photos de vacances.

J'utilise cette fonction, et les albums privés sont bien invisibles sauf autorisation. En revanche, les fichiers images sont accessibles à quelqu'un qui en connaitrait ou devinerait l'URL (www.monsite.com/albums/nom_album/nom_image.jpg).
Je cherche à bloquer cette possibilité d'accès non autorisé par exemple par un .htaccess (facile) mais qui se comporterait de façon transparente pour l'utilisateur autorisé passant par l'interface CPG (c'est à dire, si dans CPG j'ai le droit d'accéder à la gallerie, je peux en voir les photos sans avoir à rentrer en plus de mon login coppermine, celui du .htaccess)

Les mesures contre le hotlinking sont sans effet (puisque l'URL commence bien par mon_site.com et non site_etranger.com).

Existe-t-il un moyen pour que le script de Coppermine outrepasse la protection .htaccess, ou à l'inverse pour que le .htaccess n'autorise que les requètes émanent du script CPG ??

J'ai consulté l'ensemble du support cpg 1.3.x standalone sans trouver d'autres réponses que "déjà discuté, faire une recherche"... Désolé si j'ai loupé LE sujet qui en parle vraiment, dans ce cas si quelqu'un remet la main sur le lien...

Merci d'avance,
Azy

PS : J'ai commencé à coder une solution mais c'est lourd, très lourd... Voici quand même l'idée, peut-être une piste ?
- albums protégés par un .htaccess (deny from all)
- edit des scripts de CPG pour récupération des variables $pic_url
- création d'image avec imagecreatefromjpeg() (qui fonctionne malgré le .htaccess) puis copie dans un fichier temporaire sans .htaccess
- remplacement de la valeur initiale de $pic_url (ou assimilé) pour la suite du script, qui affiche dès lors l'image temporaire.
>> Pb = Création de nombreux fichiers jpg temporaires qu'il faudra ensuite effacer (avec quel délai ??) sinon on explose son quota disque.
>> Pb 2 = nombreux scripts à modifier, et j'ai des soucis pour faire fonctionner le index.php (vignette des albums) avec cette solution.

[Titooy]

Actuellement, Coppermine n'est pas du tout conçu dans une optique de sécurité.

Je m'étais aussi lancé dans une réflexion à ce sujet et ma conclusion était que la seule manière de vraiment sécuriser une galerie est de mettre les images dans un répertoire inaccessible depuis le web (ou au moins, pas l'endroit standard) et de les appeler avec un script php qui vérifie les autorisations.

Ca ne me paraît pas le bout du monde à coder mais je ne m'y suis pas encore lancé.

[Pascal YAP]

Titooy,

Actuellement, Coppermine n'est pas du tout conçu dans une optique de sécurité.

C'est dommage finalement !
Ceci dit une très faible protection consiste en quelques lignes Javascript comme "pas de click droit", "pas de sauvegarde IE" ou mettre les images dans un Flash. On peut avoir la conscience d'éliminer au moins 80% des internautes ! Les 20% restant se moquent sans doute des images
En tout cas personne ne pourra jamais empècher les captures d'écran 

Alors constatons qu'il n'y a que le filigrane de réellement dissuasif. (Watermark : http://forum.coppermine-gallery.net/index.php?topic=13402.0 )

Ca ne me paraît pas le bout du monde à coder mais je ne m'y suis pas encore lancé.

Personne ne doute qu'un jour tu démarrera ! Néanmoins tout le monde attends avec intérêt

PYAP

[Azrayen]

C'est dommage finalement !

Je suis bien d'accord, encore que là le pb ne soit pas spécifique à CPG...

Ceci dit une très faible protection consiste en quelques lignes Javascript comme "pas de click droit", "pas de sauvegarde IE" ou mettre les images dans un Flash. On peut avoir la conscience d'éliminer au moins 80% des internautes ! Les 20% restant se moquent sans doute des images
En tout cas personne ne pourra jamais empêcher les captures d'écran 

Euh, c'est pas exactement la question : je suis bien conscient qu'il est impossible d'empêcher un utilisateur un tant soit peu averti de sauvegarder une image affichée par le navigateur. Et si j'autorise un membre à voir une image, peu m'importe qu'il l'enregistre ou pas... j'ai d'ailleurs laissé activé le DL en fichier ZIP.
Là, je voudrais empêcher un internaute qui n'est pas autorisé à accéder à certains albums dans coppermine d'accéder aux images de ces albums en "devinant" leur URL.

M'enfin si c'est trop complexe, tant pis, c'était plus une question de culture générale, je n'ai pas de photo précieuse à ce point... ou alors si mais elles ne sont pas sur le Net !!

Azy

[TyL]

hello !

Personne n'a trouvé de solution alors ?? Moi celle du "flash" m'interesserait. QQ'un a qq pistes à me donner ?

Merci d'avance !

[Pascal YAP]

Bonjour,

Personne n'a trouvé de solution alors ??

Bah non !

Moi celle du "flash" m'interesserait.

Pas de chance il n'y a pas de support FLASH dans notre forum Coppermine ! 

QQ'un a qq pistes à me donner ?

Comme nous le signalait Titooy il y a quelques temps, la meilleure solution pour ne pas se faire pomper ses images est de ne pas les mettre en ligne 

PYAP

[autoktone]

Salut,
juste pour avoir votre avis, le meilleur résultat que j'ai obtenu avec la protection des photos sous coppermine est http://barboteurs.fr.
En effet, les photos concernant des enfants pour des séances de piscine ne doivent pas être accessibles pour les personnes en dehors de la famille, c'est donc important de protéger au moins les répertoires...
J'ai bien essayé de mettre le répertoire d'albums en dehors du répetoire public, mais évidemment, il est dur de remonter un niveau qui n'est pas vu par le serveur web !!
Bon, pour ce qui est des accès directs aux photos en elles mêmes (ils faut encore connaitre le chemin exact et donc vraiment les chercher parmi tous les titres de photos possibles...), je ne vois pas sinon même coppermine ne pourra y accéder... Me trompe-je ?
Merci pour vos avis et tests !

[François Keller]

bonjour,
je ne comprends pas bien le sens de votre message. Votre galerie demande une identification pour pouvoir y accéder, soit, mais je ne vois pas bien ce que vous avez fait d'autre...

[autoktone]

bonjour,
je ne comprends pas bien le sens de votre message. Votre galerie demande une identification pour pouvoir y accéder, soit, mais je ne vois pas bien ce que vous avez fait d'autre...

Désolé si je n'ai pas été assez clair, j'ai tenté de protéger au moins l'accès aux répertoires d'albums et le mieux que j'ai obtenu est que si quelqu'un désire récupérer des photos sans être enregistré, il lui faudra y accéder uniquement en connaissant le chemin exact. Bon on peut y arriver avec soit beaucoup de patience soit un petit programme. Mais si je protège plus même coppermine n'affiche pas les photos...
Donc je vous demande ce que vous en pensez (vous pouvez essayer d'accéder directement aux photos) et si vous avez trouvé de meilleures solutions ? A part réécrire un nouveau script qui serait capable d'afficher des images protégées dans un répertoire non public (j'avais commencé mais ça fait un paquet de boulot, je me suis donc remis sur coppermine). Je pourrais aussi compléter pour le hotlinking mais c'est aussi une illusion... Et puis il y a certainement des trucs à faire du côté des POST, GET et compagnie pour rentrer dans un site coppermine  .
A+

[François Keller]

ok, je comprends mieux.
Avez vous essayé les albums protégés par mots de passe ?

[autoktone]

Bonjour François,
dans la mesure où de toutes façons, les utilisateurs doivent être loggés et qu'il n'y a pas d'inscription possible, l'ajout d'un mot de passe supplémentaire me parait superflu du côté de l'interface ou même en htaccess.
Par contre, je m'inquiète plus pour les accès directs au fichiers dans la barre d'adresse ou les hacks divers de code coppermine. Je ne suis pas encore passé sur 1.5.
Des idées ? avez vous essayé d'extraire des photos depuis le site ?
Merci

[François Keller]

j'ai essayé sans y arriver, mais je ne suis pas un expert en piratage de site.