Discussion :

[nuke_y]

Bonjour, mon problème est proche de celui d'autres sujets sauf qu'au lieu d'images, ce sont des vidéos que je veux protéger.

Je m'explique : j'ai un site perso (hébergé chez un hébergeur sérieux) qui me sert de site de présentation, une sorte de blog mais avec plus de possibilités. J'utilise Joomla pour le plaisir d'utiliser un CMS (oui je sais c'est un peu le bazooka pour tuer un moustique d'utiliser Joomla juste pour afficher des articles contenant mes photos de vacances et de soirées).

Vu que j'ai plein d'espace disque, j'ai décidé d'en faire profiter mon entourage et j'ai décidé de mettre en ligne les vidéos de mes cours de danse pour en faire profiter les autres élèves. Ainsi on peut réviser chez soi entre 2 cours, et ne pas oublier ce qu'on a vu 3 semaines plus tôt. Le problème c'est que les vidéos sont censées rester à usage privé pour respecter
1) le droit à l'image
2) la vie privée des gens
3) la propriété intellectuelle de mes professeurs de danse

Donc pas d'accés libre. Le cahier des charges c'est : pouvoir accéder à la vidéo facilement MAIS en rentrant un login/mdp incontournable. Comme Joomla ne gère pas bien les accés limités à certaines parties, je me suis décidé pour les fichiers htaccess. En gros j'ai un répertoire par cours (salsa niveau 1, rock niveau 2, etc.) et dans chaque répertoire j'ai mes vidéos (en .mov) et un fichier .htaccess. Le fichier .htaccess exige une identification et se réfère à un fichier .htpsswd (contenant le mdp crypté) situé dans un autre répertoire (lui même protégé en deny from all).

Donc le monde entier a accès à mes articles montrant les vidéos MAIS la vidéo n'est accédée (et donc affichée) que si on donne le bon login/mdp. L'intérêt c'est :
- facilité d'administration
- solidité de la solution (en comparaison à une solution homemade en PHP)
- login/mdp générique pour tous les élèves du cours

Je me suis interrogé longtemps sur streaming/pas streaming pour empêcher les vidéos d'être récupérées une fois le bon login/mdp rentré mais
1) Je fais relativement confiance aux élèves du cours
2) J'ai une solution avec du flash mais c'est pas du vrai streaming
3) Le vrai streaming c'est pas évident


Alors mon problème maintenant : est-ce que les fichiers .htaccess c'est vraiment fiable comme solutions ? A quoi dois-je faire attention pour être sûr qu'ils ne sont pas accessibles, écrasables et/ou contournables ? Enfin que pensez-vous de ma solution ? Je pense à terme interdire l'accés aux pages des vidéos aux gens non loggés, pour éviter que trop de gens jouent à tenter de pirater le système.

Si quelqu'un gère sur ce genre de problématique, je suis prêt à lui passer l'adresse du site pour qu'il teste la sécurité.

Merci de vos infos / conseils / remarques / critiques.

[cadoudal56]

Hello,

Il me semble que tu peux gérer sous oomla l'affichage de certains menus si l'utilisateur est loggué ou non.
Dans ce cas tu mets tes vidéos sur une page Joomla qui n'est accéssible que si l'utilisateur est loggué...

@+
cadou

[Deimos_]

Salut,

Afin de protéger des documents, la solution du .htaccess reste la meilleure. Une faille de sécurité dans Apache ou dans un script PHP du site pourraient permettre à un attaquant d'obtenir les vidéos, mais si tout est à jour, il n'y a pas ou très peu de risques. Un autre point à vérifier est la solidité du couple login/pass que tu as choisi.

Après, si tu es gêné par les tentatives d'attaques, ce qui est à prévoir lorsque tu mets un lien en public vers des fichiers privés protégés, il peut yavoir plusieurs solutions :
- Divulguer ledit lien de téléchargement par mail ou effectivement dans une partie privée du site accessible uniquement par des individus identifités

- Bannir les individus qui loupent plus de X fois l'authentification du .htaccess. En effet la règle "deny from x.x.x.x" dans un .htaccess permet de bannir définitivement une adresse IP. Après, pour rendre ça "dynamique", je vois comme solution un aliage de PHP, en utilisant une règle comme "ErrorDocument 403 /ban.php" (erreur 403 = accès refusé), fichier qui éditerai le .htaccess et rajouterai la ligne afin de bannir l'adresse IP. Ca coûte pas tellement en temps, et ça permet aux attaquants de se calmer rapidement je pense.

Un formulaire en PHP avec génération d'image avec texte déformé serait je pense, tout aussi sécurisé, mais cela demande un peu plus de temps à mettre en place. De plus, je ne pense pas qu'une multitude de hackers veuillent pirater ton système pour des cours de danse gratuits, bien qu'on ne sache jamais ... =)

Deimos

[nuke_y]

Salut.

Oui je vais rajouter l'utilisation du login par Joomla pour rendre l'accés aux pages contenant les vidéos seulement pour les membres loggés. Cependant ce n'est jamais suffisant pour garantir que les vidéos ne soient accessibles que par les membres voulus (une faille dans joomla c'est possible) donc je vais coupler ça avec le htaccess. J'aime bien l'idée du ban par IP aussi, ce genre de mécanisme n'existe pas directement intégré à Apache ? Du genre détection de flood ou un truc comme ça ?

Merci de votre participation.

[Deimos_]

Salut,

Non il ne me semble pas qu'il y ai ça en règles pour Apache. Les règles sont plutôt "statiques". C'est à toi de les dynamiser =)

Deimos