• [^] # Re: Piwigo et Cialis

    Posté par . En réponse au journal Partager ses photos et auto-hébergement. Évalué à 2.

    Par défaut c'est vrai. On peut cependant configurer son Piwigo pour systématiquement passer par un script pour afficher une photo. Cela coûte en CPU cependant... voir https://blog.dragonsoft.us/2014/10/15/piwigo-security-protect-your-images/ par exemple pour les paramètres à utiliser.

    J'avais bien repéré le lien que vous donnez.
    Mais j'ai été un peu découragé par la complexité de la chose et par les nombreuses réserves/contraintes :

    • You will have to disable access to HD versions of your photos
    • Please note that if you are using videoJS plugin, it requires direct access to video files as i.php proxy is not used.
    • Please note that by doing so we do not protect, restrict access to derivative itself when it is permission protected.

    Et en bas de la plage, j'ai relevé le dernier commentaire par yonjah qui a développé une méthode plus globale :
    https://ca.non.co.il/index.php/securing-private-piwigo-albums/
    https://github.com/yonjah/piwigo-privacy

    j'en ai parlé plus haut dans mes commentaires, je n'ai malheureusement pas réussi à faire marcher ce piwigo-privacy. Si j'ai le courage, j'essaierai de nouveau de faire marcher cette méthode, mais ce serait bien si c'était directement intégré à Piwigo.

    Après il faut relativiser ce problème. Si on connaît le chemin d'un fichier, c'est normalement qu'on y a eu accès de façon explicite (si on peut trouver l'url de vos fichiers en la devinant, il faut résoudre le problème en amont). Le problème est donc que la personne peut "partager" l'url avec qqun d'autre. Cette personne pourrait tout aussi bien copier votre photo sur Facebook ! C'est donc une question de confiance envers les personnes avec qui l'on partage ses contenus privés, et pour cela Piwigo ne peut pas faire grand chose.

    C'est plus un problème de sécurité que de vie privée (sécurité par obscurité de l'URL).
    Pour moi tous les accès, quels qu'il soient (URL direct, indirect, API, ...) doivent transiter par le gestionnaire de permissions.
    Je ne sais pas comment marche NextCloud/OwnCloud, Salut à Toi, Seafile et autre concurrents. Mais j'ai l'impression que cela marche vite et bien et que ce problème d'URL d'accès direct à l'image n'existe pas.

    Enfin je suppose que vous avez déjà réfléchi longuement à ce soucis et que si vous ne l'avez pas déjà implémenté, c'est que vous avez vos raisons (c'est pas vraiment une fonctionnalité demandées par vos utilisateurs payant par exemple).
    Mais pour ma part j'ai trouvé un moyen de contournement, donc pour l'instant ça va.

    Merci pour votre réponse.