• [^] # Re: Dommage

    Posté par (site web personnel) . En réponse à la dépêche Piwigo 2.7 : un chez-soi pour vos photos. Évalué à 5.

    Et comme tu l'as indiqué, il n'y a pas de vérification des droits dans i.php donc si on a une connaissance qui diffuse cette URL (intentionnellement (Facebook, Twitter,...) ou pas MSN, Hangout,...) elle peut devenir public.

    Attention, l'URL « confidentielle », c'est celle du fichier .jpg, pas l'URL de la page web qui permet de la visualiser (i.e. si tu partages http://demo.piwigo.com/picture?/115/category/birthday-party, tu restes en sécurité, il faudrait que tu partages une URL du style http://demo.piwigo.com/uploads/v/8/z/v8z3358vr7/2010/06/25/20100625235929-97d0f688.jpg pour prendre un risque). Le partage « par mégarde » me parait peu probable. Pour le partage intentionnel, ça n'est pas beaucoup plus difficile de partager l'image que de partager son URL.

    Et ce n'est pas du tout spécifique à piwigo. Au moins Google+ et Facebook font pareil (ce qui leur permet d'avoir les images sur des serveurs optimisés pour les pages statiques, et d'utiliser des CDN pour que les téléchargements se fassent depuis des serveurs proches de l'utilisateur).

    Ça ne veut pas dire qu'il n'y a pas de problème du tout, mais c'est quand même beaucoup moins problématique que ça pourrait en avoir l'air.

    Dans le cas de Piwigo, on devrait pouvoir s'en sortir avec mod_xsendfile sous Apache (https://www.tn123.org/mod_xsendfile/) quand il est présent pour ne pas plomber les perfs.