Protéger le répertoire IMG/ - commentaires

Protéger le répertoire IMG/

Bonjour, désolé de déterrer ce vieux sujet, je n'y connais rien en php. J'essaye tant bien que mal de maintenir un site web avec SPIP.
Je suis très intéressé par votre script.
J'ai fais un copié collé de votre script dans un fichier que j'ai nommé index.php, j'ai copié le fichier dans le dossier IMG de mon site, y-a-t-il une autre chose à faire, car pour l'instant j'ai toujours accès à la liste des fichiers présent dans le dossier IMG et aucune redirection ne s'effectue.
J'utilise spip 2.07 et le site est hébergé chez free.

Protéger le répertoire IMG/

Voilà une solution que j'applique et qui fonctionne

- 1/ créer IMG/.htaccess contenant :
SetEnvIf Referer « ^http:\/\/xxx\.mon-domaine\.fr » OK
Order Deny,Allow
Deny from all
Allow from env=OK

- 2/ modifier conf/httpd.conf :
DocumentRoot « /usr/local/xxx/htdocs »
AccessFileName .htaccess
...

...
AllowOverride All

- 3/ recharger apache

Protéger le répertoire IMG/

Bonjour.
Même problème que certain, impossible d'exécuter le sript SQL (dernière étape du tuto), du coup je n'ai plus accès aux fichiers déposé sur le site.
Pourriez-vous détailler l'installation du script ?
Merci d'avance.
Phil

Protéger le répertoire IMG/

Merci, j'avais bien vu ta solution proposée dans le post du 7/4/2010 mais elle ne me donne pas de meilleur résultat, les fichiers restent accessibles depuis leurs urls.
en attendant j'ai préféré la solution de cette contrib car elle me donne un erreur 403 qd la tienne qui donne un 500.

J'utilise l'acces restreint pour les visiteurs (site extranet) et cela signifie donc qu'aucun intrus ne doit accéder aux docs joints. j'ai tenté également l'installation d'un .htpassword mais mon installation a échoué et j'ignore pourquoi. j'ai posté un message mais je ne m'attends pas à une réponse en fait car nombreux posts restent sans réponse. de plus quand j'ai lu ça, j'ai préféré ne pas insister..

je viens de trouver cette solution aussi, je m'apprête à la tester..

Protéger le répertoire IMG/

Bonjour,
j'utilise SPIP 2.1.8 et le système de protection de répertoire à base d'un fichier index.php présent dans le répertoire IMG. Cela fonctionne correctement. Ce fichier renvoi vers la page d'accueil du site si quelqu'un essai de lire le contenu du répertoire IMG.

Contenu du fichier index.php :

 // recursive call of index.php $url = '../index.php'; header( 'Request-URI: '.$url ); header( 'Content-Location: '.$url ); header( 'Location: '.$url ); exit(); ?>

Voir en ligne (Site chez O2SWITCH) : Latoniccia Club Plongée/IMG

Protéger le répertoire IMG/

Bonsoir,
Il y a un truc qui ne va pas :
Je suis sur spip2.1.8 sur ovh, et j'ai essayé toutes les manips de la contrib ainsi que celles du forum en prenant soin de remplacer les php3 par php, et ajouter include(« ecrire/inc/headers.php ») ; sous include(« ecrire/inc_version.php ») ;

IMG et sous répertoires sont bien inaccessibles, mais on peut encore accéder aux fichiers directement par l'url.

ici on parle beaucoup de spip1.9 mais qu'en est-il de spip2 pour ces scripts ?

Protéger le répertoire IMG/

merci pour cette astuce, ça marche nickel chrome même pour la dernière version de Spip. Depuis le temps que je cherchais un système simple et efficace.... Sympa de l'avoir partagé

Protéger le répertoire IMG/

Bonjour,

pour protéger le répertoire IMG et d'autres sur mes sites, j'utilise une astuce empruntée à l'équipe PIWIGO ( Site PIWIGO) qui utilise un fichier index.php positionné dans chacun des répertoires à protéger. Lors d'une demande d'accès au répertoire protégé, le fichier index vous renvoi vers la page d'accueil de votre site et les documents utilisés dans vos articles, rubriques, brèves, etc ... restent disponibles pour SPIP.

Voir en ligne (Site chez FREE) : Latoniccia Club Plongée/IMG

Code du fichier Index.php :

Protéger le répertoire IMG/

Bonjour,

Idem : comment faire pour que les documents contenus dans /IMG appartenant à des articles « public » continuent à être accessibles ?

Protéger le répertoire IMG/

En général l'erreur interne 500 vient d'une commande non reconnue dans le .htaccess
J'ai donc nettoyé le .htaccess au maximum et cela fonctionne sur free (SPIP 2.0.8 ) :

deny from all
ErrorDocument 403 /securedoc.php

et le fichier securedoc.php avec les petites modifs données dans ce forum pour les include.

Protéger le répertoire IMG/

Bonjour

Avez vous trouvé une solution à ce problème ?

A+

MCQ

Protéger le répertoire IMG/

Aaaaaaaaaaarrrghhhhhhhhhhhhhhhh ! H E L P !

J'ai suivi la procédure les yeux fermés jusqu'à l'avant dernier point. (oui, je sais, devant un écran, il faut déjà le faire). Et là, je me suis retrouvé bête : que faire de ce script ?

Mes documents sont maintenant inaccessibles.

Olysh, as-tu obtenu une réponse ?

Merci de bien vouloir lancer une bouée de sauvetage !

Protéger le répertoire IMG/

Même question... une réponse serait bienvenue !

Protéger le répertoire IMG/

même question que françois, comment faire pour que les documents contenus dans /IMG mais faisant référence à des articles qui ne sont pas dans l'intranet continuent à être accessibles ?

Protéger le répertoire IMG/

Oui j'ai vidé le cache, j'ai même réinstallé complètement SPIP, mais le problème doit être au niveau d'une table créée dans la base qui restreint l'accès. Comment modifier les scripts htaccess et secure doc pour revenir à l'état d'origine, donner moi un exemple svp (je n'y connaîs rien en php !!!)
Merci d'avance

Protéger des fichiers du répertoire IMG/pdf

Bonjour,

J'administre un site sous SPIP 1.9.2h (patché).

Ce site dispose d'un accès membres avec loggin et MdP.
Dans l'espace membres, se trouvent des documents .pdf réserver aux personnes s'étant identifiées dans l'espace membres.

Cependant, je me suis aperçu que ces documents sont accessible même sans être loggé, pour ceux qui connaissent l'adresse.
Adresse genre www.site.org/IMG/pdf/demo.pdf.

J'ai donc appliqué la procédure de cette article : http://www.spip-contrib.net/Proteger-le-repertoire-IMG

Mais du coup tous les documents de /IMG/pdf sont restreints.

Comment appliquer cette procédure à seulement quelques fichiers ?

Merci d'avance pour votre aide.

Protéger le répertoire IMG/

As-tu vidé le cache ??

Protéger le répertoire IMG/

Bonjour,
j'ai tenté d'installer ce script qui me semble intéressant - en local tout fonctionne parfaitement, quand j'ai uploader les fichiers et la base sur mon site en ligne : catastrophe, les images ne s'affichent plus dans les articles. Je suis novice sur SPIP, comment revenir en arrière, j'ai suprimmé les fichiers .htaccess et securedoc mais rien n'y fait, il doit y avoir des tables dans la base qui ont été modifiées... Lesquelles ?
Help, help I need some help !!!

Protéger le répertoire IMG/

Est-il possible de détailler l'étape 3 svp : « exécuter le script » ?

Faut-il double cliquer sur le fichier une fois qu'il est installé dans le répertoire du site ?

Merci

Protéger le répertoire IMG/ En panne d'idées

ok ca fonctionne mais chez moi (même super bien) uniquement mais pas chez free.
Free bloque Erreur interne 500.
Question de sécurité je pense.
J'ai tout essayé (les directives apache comme « action » ...) pour rediger les images vers le module securedoc doc mais cela ne fonctionne pas ou mal chez free.
J'ai même développé un module pour encoder/décoder les images mais cela ne va pas assez vite le serveur bloque.
quelqu'un a une idée ?

Merci d'avance.

Protéger le répertoire IMG/

Ceci est-il toujours valable sous SPIP 2.0.3 ? Je me contente actuellement de mettre un fichier index.html dans tous les répertoires dont je ne souhaite pas que le contenu puisse être accédé directement par les utilisateurs. Qu'est-ce que je risque ? En quoi la méthode proposée ici est-elle plus sécurisante ?
En tous cas merci pour cette contrib.
Pierre

Protéger le répertoire IMG/ (spip 1.9.2)

J'ai adapté cette contrib sur un spip 1.9.2^d, mais je voulais en plus que ce qui est écrit plus loin dans le forum, protéger les images et les vignettes générées automatiquement.

Pour protéger les images, il faut ajouter au .htaccess :
gif|GIF|png|PNG|jpg|JPG|jpeg|JPEG dans les 2 ocuurences (doc|pdf|sxw|ppt|ps|txt|xls|html|DOC ... de ce fichier.

Ensuite, pour plus de cohérence avec spip 1.9, je sugère de renomer erreur404.php3 et securedoc.php3, erreur404.php et securedoc.php, et d'adapter leurs occurences dans le .htaccess et securedoc.php

Ensuite, comme dit plus bas, il faut dans securedoc.php remplacer :
include("ecrire/inc_version.php3");
par

include("ecrire/inc_version.php");
include("ecrire/inc/headers.php");

Maintenant, il faut penser à protéger les vignettes qui avec spip 1.9 se trouvent désormais dans un cache dans le répertoire /local/. Pour cela, il faut :
1) placer le .htaccess dans le répertoire /IMG/ ET /local/
2) dans securedoc.php, remplacer

 if (!ereg("/IMG/",$uri) || !ereg("..",$uri)){ not_found(); } $fichier = preg_replace(",^.*/IMG/,", "IMG/", $uri); if (!@file_exists($fichier) || !@is_file($fichier)){ not_found(); }

par

 if ((!ereg("/IMG/",$uri) && !ereg("/local/",$uri)) || !ereg("..",$uri)){ not_found(); } if (ereg("/IMG/",$uri)) {$fichier = preg_replace(",^.*/IMG/,", "IMG/", $uri);} if (ereg("/local/",$uri)) {$fichier = preg_replace(",^.*/local/,", "local/", $uri);} if (!@file_exists($fichier) || !@is_file($fichier)){ not_found(); }

Chez moi, ça marche ...
bien à vous.

> Protéger le répertoire IMG/

réponse à moi-même :
il semble qu'après test que le problème vienne du .htaccess du dossier IMG/.
J'ai fait intervenir mon administrateur serveur pour qu'il me file un coup de main mais pour le moment pas de réponse...mais ça fait 24h et je n'ai pas de retour il doit sécher aussi sur le problème...

> Protéger le répertoire IMG/

suite à un changement de serveur la protection de mes docs est remise en cause alors que était Ok (impossiblité d'ouvrir les docs si non connecté).
C'est dur de se remettre dans le code, je fais donc appel à des personnes qui comme moi ont subi ce type de désagréments pour avoir des pistes sur les éventuels changement à opérer.

Protéger le répertoire IMG/

Le script à l'air de bien fonctionner, mais quelqu'un pourrait me dire comment faire pour la 1.9.2^d car l'article est assez vieux (2004)...

Merci beaucoup !

> Protéger le répertoire IMG/

Quant à moi, je ne préoccupe pas de savoir si le visiteur est loggué ou non à ce stade là.

C'est dans le squelette de la page que je vérifie si le visiteur l'est et s'il fait parti des auteurs de la page...

Donc, c'est + simple pour moi...

Quant à ma page erreur404, il faut d'abord que je me sorte les doigts du c## pour en faire une + claire...

@ +

> Protéger le répertoire IMG/

Pour info, sur le document securedoc.ph je pense faire des petits réajustement en fonction du plug in accès restreint, car à l'heure actuel le prog vérifie juste qu'une session est ouverte mais pas par qui ce qui peut poser problème suivant le profil du connecté

> Protéger le répertoire IMG/

Ok ça à l'air de fonctionner, j'ai repris la première version du code et en mixant en rajoutant quelques ajustement avec le tien et j'obtiens ce que je souhaitais !
Reste plus qu'à créer les pages d'erreur !

merci pour ton aide !

> Protéger le répertoire IMG/

Dans

if (ereg(lire_meta(« adresse_site »),$referer))

dis moi si je me trompe mais le « adresse_site » correspond à par exempel http://127.0.0.1/intranet?

> Protéger le répertoire IMG/

Voici le contenu de mon fichier securedoc.php3 :

include("ecrire/inc_version.php");
include("ecrire/inc/headers.php"); function not_found() { http_status(404); exit;
} $uri = $REQUEST_URI;
$referer=$HTTP_REFERER; if (ereg(lire_meta("adresse_site"),$referer)){ if (!ereg("/IMG/",$uri) || !ereg("..",$uri)){ not_found(); } $fichier = preg_replace(",^.*/IMG/,", "IMG/", $uri); if (!@file_exists($fichier) || !@is_file($fichier)){ not_found(); } $size = @filesize($fichier); if (!$size){ not_found(); } $if_modified_since = ereg_replace(';.*$', '', $HTTP_IF_MODIFIED_SINCE); $gmoddate = gmdate("D, d M Y H:i:s", @filemtime($fichier))." GMT"; if ($if_modified_since == $gmoddate) { http_status(304); exit; } http_status(200); $nom=ereg_replace(".*/","",$fichier); $extension=ereg_replace("^(.*)\.(.*)$", "\\2", $nom); $req= "SELECT mime_type FROM spip_types_documents WHERE extension='".$extension."'"; $res = spip_query($req); if (spip_num_rows($res)>0){ $row = spip_fetch_array($res); $mimeType = $row['mime_type']; Header('Content-Type: '.$mimeType); } Header("Content-Length: ".$size); Header("Last-Modified: ".$gmoddate); Header('Content-Disposition: attachment; filename="'.$nom.'"'); readfile($fichier);
}
else { not_found();
} ?>

et celui du fichier .htaccess situé dans le répertoire IMG :

ErrorDocument 404 http://127.0.0.1/intranet/erreur404.php3

RewriteEngine On
RewriteRule « \.(doc|pdf|sxw|ppt|ps|txt)$ » ../securedoc.php3

Deny from all
ErrorDocument 403 ../securedoc.php3

J'ai eu la flemme de créer une page d'erreur à la place de « http://127.0.0.1/intranet/erreur404.php3 ».

Et puis c'est tout...

Comme tu le vois : c'est le minimum syndical et cela marche.

Par contre, je n'ai pas modifié le fichier .htaccess situé dans le répertoire principal du site avec les options

ErrorDocument 404 erreur404.php3
options -indexes

comme indiqué au début...

Mais je ne sais plus pourquoi je ne l'ai pas fait, ça remonte à 6 mois...

En tout cas, ça marche comme je le voulais.

> Protéger le répertoire IMG/

Oui je l'ai rajouté.

L'accès à mes docs est verrouillé aussi bien en ayant ouvert une session qu'en copiant collant le lien vers le dans le champ adresse de firefox.

tu as seulement rajouter cette ligne de code sans autres modifs ?

> Protéger le répertoire IMG/

Bonjour,

Pour ma part, j'ai uniquement interdit l'accès direct aux fichiers du répertoire IMG (et à ses sous-rep) et je gère un accès restreint sans plugin en autorisant uniquement l'accès au(x) auteur(s) des articles dont je veux limiter l'accès.

As-tu essayé de rajouter la ligne :

include(« ecrire/inc/headers.php ») ;

au début de securedoc.php ?

Salutations

> Protéger le répertoire IMG/

Bonjour,

j'esaie d'utiliser cette astuce pour protéger l'accès au fichier dans IMG s'il n'y a pas de session ouverte.

J'utilise le plug-in accès restreint pour gérer mes accès utilisateurs.

j'ai modifié la ligne include(« ecrire/inc_session.php3 ») par include(« ecrire/inc/session.php ») car je travaille sur la version 1.9.2.

J'ai un message d'erreur 403 forbidden lorsque j'essaie d'accède raux documents soit par accès direct soit par le lien proposé par l'article sur SPIP.

Y'a t'il d'autre choses à modifier ?

> Protéger le répertoire IMG/

...tant que tu n'oublies pas de le placer dans TOUS les sous-dossiers ! Vive l'automatisme !

> Protéger le répertoire IMG/

Quant à moi, j'ai fait le contraire :
J'ai ajouté

include(« ecrire/inc/headers.php ») ;

au début du fichier securedoc.php3.

Salutations ;-)

Protéger le répertoire IMG/

Excellente Contrib !! Merci Aurélien.

Juste une précision sur le fichier .htaccess quand l'Apache tourne sur un OS Windows :
La première ligne doit juste être :
ErrorDocument 404 /erreur404.php3

sans les ../

Sinon le fichier .htaccess renvoit sur une page vide indiquant ../erreur404.php3

> Protéger le répertoire IMG/

Bonjour,

merci pour cette contrib.
Je viens de tester la solution.
En l'utilisant telle quelle j'obtenais un message d'erreur « undefined » sur la fonction « http_status() ».
Je l'ai remplacée par un « header() », dans securedoc.php3, et ça marche !

Le seul inconvenient pour mon site est que je voudrais pouvoir garder des documents joints en accès libre, sans identification du lecteur.
Or toutes les images et douments joints sont envoyés par SPIP dans le répertoire IMG.

Est ce qu'on peut forcer SPIP à changer de répertoire, pour certaines rubriques par exemple ?

> Protéger le répertoire IMG/

mdr :-)
je pensais être le seul :-)

> Protéger le répertoire IMG/

Bravo pour ce script que je n'ai pas essayé !!! Je place simplement un fichier index.html qui ne contient rien à la racine du dossier IMG et de ces sous-dossiers. Je suis conscient que la protection est « jeune », mais elle fait son effet...