[Sécurité] Restriction acces :: htacces

**Clorish** · 11/10/2006, 11h43

Bonjour!

Je cherche a proteger un repertoire de mon site depuis le net.
J'ai un site qui a pour but de proposer des photos familiales ... a la famille.
J'ai restreint l'acces au site par pages php et identification via mysql (gestion des sessions)

Par contre mes photos sont dans un repertoire specipique qui peut etre listé depuis un navigateur si on connait l'url, ce qui est facile a optenir avec un les options "copier le lien du fichier".

J'essaye dont de proteger l'acces direct a ce repertoire a l'aide d'un fichier htaccess. Mais quelle que soit la configuration, j'ai soit un restriction trop forte (meme les scripts php de mon site ne trouvent plus les images) soit trop faible (la restriction n'est pas efficaces et le listing est possible).

J'ai essayer de mettre en place un fichier .htpasswd mais je n'y arrive pas non plus :/

Quelqu'un a t il quelques informations a me donner la dessus ?
Petite precision, je suis sur free pour le moment.

**jc_cornic** · 11/10/2006, 11h53

Salut, je voudrais que tu précises un truc,

Par contre mes photos sont dans un repertoire specipique qui peut etre listé depuis un navigateur si on connait l'url, ce qui est facile a optenir avec un les options "copier le lien du fichier".

Qu'entends-tu par copier le lien du fichier???
Je demande car j'ai moi meme un site de photos de famille accessible par log/passwd et dans un répertoire secret (qui n'apparaît jamais dans l'url), j'ai des photos et vidéos de mes petites filles (4 et 1 an)

Je pensais ce site sécurisé mais apparemment, y a un problème... Peux tu être plus explicite sur la façon de récuperer le répertoire contenant les photos ???

Merci

++
JC

**Clorish** · 11/10/2006, 12h56

Ben en fait je parlais de n'importe quel site.
Si on affiche une image sur une page, on a forcement le lien de cette image par un clic droit de souris et "copier l'adresse de l'image" plus exactement.

Par contre en ce qui concerne des site dit "protegé" je ne sais pas .... normalement le principe et le meme, (il doit etre possible de recuperer le chemin complet de l'image) mais l'acces en direct au repertoire sera controlé par mot de passe.

J'ai souvent utilisé cette technique pour "aspirer" certains cites d'images (fond'ecran, clip art, etc ...) en direct, ou avec des logiciels comme "Free Download Manager". J'ai ete bloqué lorsque le site est passe par un systeme d'identification pour acceder a son repertoire d'images.
On me demande un code de connection, que bien sur je ne possede pas.

JE souhaitais mettre en place ce genre de chose : Bloquer l'acces au repertoire par mot de passe ou refut integrale sans concession (je compte juste donner un seul mot de passe : l'admin).
Par contre le site lui doit pouvoir continuer a y acceder afin d'afficher ses pages ....

Tu pourrais (sans que cela mette en peril ton site) me donner des infos pour proteger mon site comme le tien ?
Merci

**jc_cornic** · 11/10/2006, 13h15

OK, en gros, j'ai plusieurs fichiers php sur mon serveur. Par contre, celui qui est affiché en url est toujours le même, index.php

j'ai un menu a gauche qui contient mes diaporamas., quand je clique sur un diaporama, il m'affiche au centre de la page le diaporama ou les images en miniatures...

En dur dans un fichier, j'ai la liste des chemins de mes diaporamas

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
$cheminsDiapo = array ["./mesDiapos/diapo1", ....];

Dans mon index.php, en fonction de l'endroit ou j'ai cliqué (diapo1 ou diapo2...), j'envoie en _POST l'index du diaporama. Ensuite, j'affiche les images qui sont dans le répertoire désiré.

Pour l'affichage des miniatures, je compte le nombre de fichiers contenus dans le répertoire de mon diaporama et voilà...

Ca me permet de:

- ne jamais afficher dans l'url le chemin de mes diaporamas
- d'ajouter un diaporama rapidement (j'ai automatisé le truc)

Vu qu'à chaque évènement, mon index.php génère du code html différent, l'aspirateur de site n'aspirera que la page au temps T et donc, mon code est préservé...

J'utilise aussi un log/passwd en début de site et vérifie a chaque génération de ma page si la variable de session est bonne ou non...

J'espere que j'ai pu t'aider...

++
JC

Invité · 11/10/2006, 13h25

réponse toute bete : pour empecher le listing met un fichier index.html vierge dans ton repertoire

**Clorish** · 11/10/2006, 13h47

Merci pour ta reponse mais je ne pense pas que cela m'aide vraiement.

Pour ce qui est de la conception du site : J'ai fait sensiblement la meme chose que toi : pages php, identification sur la page "index" avec connection sur une base de données mysql pour verifier les login mdp.

MEs images sont stockée dans la BdD et je les affichent via un page unique qui recupere les parametre passés par url (ID de l'image dans la BdD que j'aurais pus passert par post c'ets pareil) et affiche l'image adequoite.

Jusque la pas de souci. Sauf que :

1- L'image s'affiche donc a un moment j'ai forcement une balise <img> genere par mon script php qui contient donc l'url complete d'acces a mon image soit : "../../img/monImage.jpg" par exemple. ca sous entend que si mon url actuelle est :
http://monsite.free.fr/pages/photos/visioneuse.php?ID=4
mon image se trouve sur : http://monsite.free.fr/pages/photos/...g/monImage.jpg ou plus precisement sur http://monsite.free.fr/img/monImage.jpg
Je tappe donc : http://monsite.free.fr/img/ dans l'url et je tombe comme par miracle sur le repertoire de mes images avec un listing complet.

2- JE decide donc de proteger mon repertoire d'un listing sauvage avec un fichier html qui affiche "acces denied". de plus je sais que le repertoire de base ne peut etre retropuvé QUE par des utilisateurs enregistrés car il faut avoir eu acces a au moins un affichage d'une image pour recuperer son url.

Mauvaise nouvelle, il existe des logiciels (Free Download Manager) qui permettent de lister le contenu d'un repertoire depuis son url.
Donne moi l'adresse de base de ton site, et je pense pouvoir retrouver et acceder au repertoire des photos sans avoir a m'identifier.
si je n'y arrive pas ... ta solution m'interesse vraiement

Chez moi ca marche en tout cas. Je saisi mon url : http://Monsite.free.fr et je vois apparaire : Pages et img. JE rentre dans img et j'ai la liste de toutes mes photos. Ce type de logiciels rends inutile les "index.html".

C'ets pour ces raisons la que je recherche une solution plus fine qui interdit l'acces a un repertoire sans mot de passe. C'ets possible via les fichier htaccess mais je n'arrive pas a les configurer pour qu'il ne bloquent pas AUSSI les scripte php .....
Quand je tente de "scanner" un site protege par htaccess, FDM me demande un login/mdp que je ne possede pas et m'empeche donc de lsiter son contenu.

Mais si tu veux bien, je souhaiterais essayer ton site .... ou dans le cas contraire, telecharge FDM (gratuit) et teste le au travers e l'onglet "explorateur de site". Soit dit en passant, il est tres bien fait pour accelerer les telechargements et batcher ces dernier.

Invité · 11/10/2006, 15h35

javais compris juste le listing d'ou ma réponse simple.

pour interdire (sans htaccess) il suffit de mettre tes images hos du repertoire web:

Etape 0 : arborescence, tu met ton dossier image ou ton image hors du repertoire web

+monimage.jpg
+www
------+page.php
------+test.php

Etape 1:
tu crées une page page.php dans laquel tu met ton image

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Document sans titre</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<img src="test.php">
</body>
</html>

Etape 2 : tu crées ta page qui va contenir ton image(tu peux y mettre sessions pour vérifier que la personne est connecté)

<?php
$fichier = "../monimage.jpg";
header("Content-Type: image/jpeg");
header("Content-Transfer-Encoding: image/jpeg\n");
header("Content-Disposition: attachment; filename=".$fichier);
header("Content-Description: File Transfert");
header("Pragma: no-cache");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: public");
header("Expires: 0");
flush();
readfile($fichier);
exit();
?>

et puis voila tu affiches tes images et tu ne peux pas les recuperer dans leur repertoire , ni les lister

toutefois tu peux faire clik droit et enregistrer sous mais ça c'est impossible à supprimer

**jc_cornic** · 11/10/2006, 15h46

Personnellement, je suis sur ovh et j'ai la possibilité de creer un repertoire dans le dossier parent au site lui meme.

C'est peut etre la solution pour ne pas se faire lister ses repertoires...

Essaye avec free download manager.

**Clorish** · 11/10/2006, 16h19

ok .... ben moi je suis sous Free ..... et je pense pa savoir la possibilité de creer un repertoire non accessible.
Sinon je le ferais ... c'est d'ailleur ce que je fais sur mon server perso ... mais vu qu'il fait que 3Go au lieu de 10 chez free et que je n'ai pas la possibilité de le laisser tourner 24/24 je ne voyais pas trop l'interet :/

Quand a enregistrer par "click droit" peut m'importe .. puisque la page (et donc l'image) n'est accessible que par identification au prealable ...

Invité · 11/10/2006, 16h28

ok alors autre solution tu fais exactement ce que j'ai dit plus haut sauf que tu met ton repertoire images dans le repertoire web

1.Arbo

+www/
-----+images/
-------------+monimage.jpg
-------------+.htaccess
-----+page.php
-----+test.php

2. page.php

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<title>Document sans titre</title>
<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">
</head>
<body>
<img src="test.php">
</body>
</html>

3. test.php

<?php
$fichier = "images/monimage.jpg";
header("Content-Type: image/jpeg");
header("Content-Transfer-Encoding: image/jpeg\n");
header("Content-Disposition: attachment; filename=".$fichier);
header("Content-Description: File Transfert");
header("Pragma: no-cache");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: public");
header("Expires: 0");
flush();
readfile($fichier);
exit();
?>

4.htaccess

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName AccesRestreint
AuthType Basic

<limit GET POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>

tu remplaces 127.0.0.1 par la bonne ip ou le nom de domaine

**Clorish** · 11/10/2006, 17h05

J'ai pas tout a fait compris tout ce que tu voulais dire

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName AccesRestreint
AuthType Basic
 
<limit GET POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>

Ca ok .. Tu defini aucun groupes, aucun fichiers de mots de passe et tu restreint l'acces. Soit.

les arguments de limit GET et POST designe quoi en fait ... j'ai jamais vraiement su ...

Deny from all : OK
Allow from 127.0.0.1 : Hum .... j'ai lu que ca testais l'ip du gars qui se connecte, autrement dit impossible. Je pensais que l'acces au fichier se faisait en local mais visiblement non vu que c'ets le navigateur qui fait la requete avec l'IP du visiteur ...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$fichier = "images/monimage.jpg";
header("Content-Type: image/jpeg");
header("Content-Transfer-Encoding: image/jpeg\n");
header("Content-Disposition: attachment; filename=".$fichier);
header("Content-Description: File Transfert");
header("Pragma: no-cache");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: public");
header("Expires: 0");
flush();
readfile($fichier);
exit();
?>

Heuu en fait ca fait quoi exactement ? ca ouvre un fichier et ca inclut son contenu dans la page elle meme transmise au navigateur ?
Si c'est le cas, je pige un peu mieux l'astuce ....
Du coup c'est le scripte PHP qui fait la requte sur l'image donc en localhost, au lieu d navigateur client .... Mais je dois me tromper c'est trop facile :p :p

Par contre il faudra expliquer un peu plus les differentes lignes ... histoire que je sache ou bidouiller en cas de pbs

En tout cas merci.

**kankrelune** · 11/10/2006, 17h22

Pas besoin de spécifier un allow from à moins que tu ais une IP fixe... .. .

GET POST signifie que la directive limit s'applique à toute les requetes de type GET et POST (donc en gros au requete http)... .. .

Pour le reste comme tu l'as déduit le script php récupère le contenu du fichier demandé et l'affiche en spécifiant les en têtes propre à ce type de fichier (Mime type)... en gros il reproduit le fichier original pour le navigateur... ça te permet de cacher la provenance des fichiers source mais si ce script est accessible à tout le monde cela reviendra au même vu que tout le monde pourra y acceder... .. .

@ tchaOo°

Invité · 11/10/2006, 17h28

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<limit GET POST>
order deny,allow
deny from all
allow from 127.0.0.1
</Limit>

le allow permet a son domaine (la ou les fichiers php sexecute) davoir accés au repertoire.
si tu met que le deny alors meme ces script ny auront pas accés donc aucune image ne saffichera
j'i précisé dans mon msg qu'il fallait quil remplace le 127.0.0.1 par l'ip s'il est en fixe ou par le nom de domaine (c'est bcp plus simple)
127.0.0.1 marche aussi car c'est le scripte php qui fait la requete
si ton site web c'est www.tonton.net alors tu met

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
<limit GET POST>
order deny,allow
deny from all
allow from www.tonton.net
</Limit>

c'est aussi simple que ça, chez moi ça marche niquel en tout cas

Explication

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
$fichier = "images/monimage.jpg";
header("Content-Type: image/jpeg");
header("Content-Transfer-Encoding: image/jpeg\n");
header("Content-Disposition: attachment; filename=".$fichier);
header("Content-Description: File Transfert");
header("Pragma: no-cache");
header("Cache-Control: must-revalidate, post-check=0, pre-check=0");
header("Cache-Control: public");
header("Expires: 0");
flush();
readfile($fichier);
exit();
?>

tu envoie ton image en sortie, comme on change les headers, ta page va etre interpreté comme une image et non pas comme une page web

sinon un lien trés bien expliqué pour chaque ligne http://fr.php.net/header

**kankrelune** · 11/10/2006, 17h31

Ah effectivement j'avais pas vu qu'il y avait des images dans le lot... mais ça change rien... le htaccess limite les requetes http... quand tu fais ton readfile tu le fait via le gestionnaire de fichiers du serveur donc pas de http donc pas besoin de allow from ton_ip... .. .

@ tchaOo°

**Clorish** · 11/10/2006, 17h34

ok .....

donc un simple fichier htacces avec
<limit GET POST>
deny from all
</Limit>

sans les "Auth.." et tout le tintoin suffit a restrindre tous les acces depuis un navigateur web ? seuls les acces en local passerons outre cette directive de limitation ?

Pour ce qui est de la publication du script, pas de soucis. il sera dasn un repertoire "scripts" que je protegerais avec un deny from all.

Juste une derniere question : le exit dans le script ca sert a quoi exactement ?
juste a sortir des balises <? ?> et continuer apres ? ou carrement sortir de la page (donc tout code html suivant ne sera pas interprete ...)

Je compte transferer ce script dans une fonction avec pour parametre le nom du fichier. qu'en est il du exit a ce niveau la ?

Desolé pour mes question peut etre idiotes mais j'ai pas mal d'automatisme de programmeur binaire, .... et php, ne reagit pas tout a fait comme un language "standard"

MErci !

**Clorish** · 11/10/2006, 17h39

ok merci .. je vais voir ca et je vous tiens au courrant ....
Merci !

**kankrelune** · 11/10/2006, 18h47

Envoyé par Clorish

ok .....

donc un simple fichier htacces avec
<limit GET POST>
deny from all
</Limit>

sans les "Auth.." et tout le tintoin suffit a restrindre tous les acces depuis un navigateur web ? seuls les acces en local passerons outre cette directive de limitation ?

Le deny from all interdit tout accès http... quel qu'il soit (même php)... donc ensuite pour accéder au fichier il faut soit utiliser le ftp (pour toi) soit que php accède au fichiers via le gestionnaire de fichier du serveur (donc accès en local aux fichier pas via http)... .. .

Envoyé par Clorish

Juste une derniere question : le exit dans le script ca sert a quoi exactement ?
juste a sortir des balises <? ?> et continuer apres ? ou carrement sortir de la page (donc tout code html suivant ne sera pas interprete ...)

le exit() termine l'execution du script purement et simplement... cela permet de stopper toute les routines qui pourrait suivre dans le script dans le cas ou le script ne ferais pas que ça... tout affichage de code, html, erreur ou autre risquerait de corrompre les données du fichier que tu affiche via php (dans ce cas une image)

@ tchaOo°

**Clorish** · 11/10/2006, 20h46

Le deny from all interdit tout accès http... quel qu'il soit (même php)... donc ensuite pour accéder au fichier il faut soit utiliser le ftp (pour toi) soit que php accède au fichiers via le gestionnaire de fichier du serveur (donc accès en local aux fichier pas via http)... .. .

Ok .. donc tant que mes scrips php faont reference a mon fichier via la fonction proposée (avec les headers) ca marche.
Bon, de toute facon, je vais voir ca de plus pres ....

le exit() termine l'execution du script purement et simplement... cela permet de stopper toute les routines qui pourrait suivre dans le script dans le cas ou le script ne ferais pas que ça... tout affichage de code, html, erreur ou autre risquerait de corrompre les données du fichier que tu affiche via php (dans ce cas une image)

qu'entends t on par "script" ? un fichier *.php ? ou une balise "<?php ?>" ?
Par exemple :
Monfichier1.php : require(monfichier2.php);
si monfichier2.php lance un exit, je sort de mon fichier2.php mais continue dans monfichier1.php apres le require ? non ?

Par contre si c'est dans une balise <?php ?> c'est tout le fichier php qui s'arrete, et pas seulement le code inclu dans la balise ? c'est a dire que tout autre blocs php ecrit plus bas dans la page ne sera pas interprete .. tout comme le reste des balises html ?

C'est peut etre idiot mais au moins comme ca je met les choses au clair

**Clorish** · 11/10/2006, 21h11

On viens de me donner une solution simple, qui possede ses limites mais qui peut etre mise en place dans pas mal de sites :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Options -Indexes

Cete simple ligne dans le fichier .htaccess permet d'interdire le listing d'un repertoire et de ses sous repertoire.
Il permet aussi de neutraliser les explorateurs de sites tels que FDM.

On peut toujours acceder aux images par lien direct mais regle pas mals de problemes.
Disons que l'on peut restrindre l'acces aux images par des utilisateurs non enregistré, et n'ayant pas consulté l'integralité du site pour connaitre la totalite des noms de fichiers.
C'est un aspect de securite qui repose sur la confiance des utilisateurs enregistré car les fuites possible ne peuvent venir que de ce cote la.

Il est a noter que de toute facon, rien ne peut empecher un utilisateur enregistré de recuperer la totalité des images et autres supports et de les diffuser depuis son propre site, ouvert a tous.....

Encore merci a tous pour ces idees !!