Discussion :

[BOU59000]

Bonjour à toutes et à tous,

Tout d'abord je tiens à m'excuser si je ne suis pas au bon endroit.
Je ne sais pas trop où poster car je ne maitrise pas ce qui va se cacher derrière ma problématique.

Je suis en train de créer un site internet.
Pour accéder à certains contenus (PDF, vidéos...), il faut disposer d'une autorisation.

J'ai géré les accès avec du php + MySQL(Si $_SESSION['Tu peux accéder à cela car tu es gentil']...).

La question que je me pose est la suivante :
Une personne non autorisée peut elle accéder aux contenus protégés sans valider $_SESSION['Tu peux accéder à cela car tu es gentil']

Par exemple :
Je débarque sur le site, je sais qu'il y a du contenu non accessible car je ne suis pas autorisé et je lance un "aspirateur" de site qui va tout pomper.
Ou un processus similaire dont je n'ai pas encore connaissance

D'avance merci pour vos retours

[Pytet]

Bonjour,

Difficile de répondre précisément sans plus de contexte.

Est-ce que les fichiers PDF sont accessibles de manière publique via un lien tonsite.com/dossier-prive/unfichier.pdf ?
Si oui, alors un utilisateur non authentifié pourra accéder à ce fichier si il connait le lien.

Le contenu dont l'accès est restreint ne doit pas être accessible via un lien direct.
A la place, on utilise un script php qui prends le nom du fichier en paramètre et qui retourne le contenu du fichier (via readfile) uniquement si l'utilisateur est authentifié.

[BOU59000]

Bonjour Pytet,

Tout d'abord merci pour ton retour.

Désolé pour le manque de contexte, ce dernier était encore flou dans mon esprit car c'est un domaine encore inconnu pour moi.
Mon objectif est de rendre cela beaucoup plus clair afin de pouvoir agir dessus

Pour le moment, la lecture (l'accès) à mes videos et/ou PDF se fait via un lien en dur.
Donc si la personne ne connait pas le lien, elle n'y a pas accès.
En revanche, il suffit qu'une personne authentifiée connaisse le lien et le partage et la.. c'est openbar.

En me baladant sur le net, j'ai trouvé ceci (les explications à côté sont ce que j'ai compris... pas certain d'avoir bien compris...) :
. Referrer : Lecture depuis une URL très précise
. Token : Lien crypté unique pour voir le fichier
. SSO : Seul un utilisateur authentifié peut lire (si vol des données, on a accès a tout sauf double authentification...)
. Encryption : fichier crypté (seulement pour les vidéos?)
. Watermaking : La fuite a déjà eu lieu mais l'identifiant de la personne authentifiée qui a fait fuite est connue

Ce dont tu me parles ressemble au Token exposé ci-dessus, c'est bien cela ?
Si oui, peut tu me diriger vers des tuto ou explications à ce sujet ?

Je commence à sortir des chemins classiques avec cela et je tombe soit sur des pubs soit sur des sujets qui n'ont rien à voir...
TOKEN me renvoi quasi systématiquement sur de la crypto...

D'avance merci

EDIT : Je viens de voir le lien vers readfile , merci . Je parcours cela et reviens ici

[mathieu]

Ce dont tu me parles ressemble au Token exposé ci-dessus, c'est bien cela ?

se dont Pytet a parlé est le protection des fichiers.
ensuite ce que vous nommez "token" et "sso" sont 2 façons pour un utilisateur d'accéder à un fichier.

Si oui, peut tu me diriger vers des tuto ou explications à ce sujet ?

cela dépend du langage de programmation utilisé.
une fois le langage choisi, vous trouverez des articles spécifiques au langage :
https://web.developpez.com/

[BOU59000]

Bonjour,

Merci pour votre retour

Désolé, j'ai été assez occupé ces derniers jours.
Je me concentre sur ce point désormais.

Je vais dans un premier temps parcourir ce que Pytet m'a donné comme piste.

Mon site est en html/css (avec quelques petits morceaux de js pris sur des tutos - je n'ai pas encore vu ce langage) + Php/mySql

Merci pour la page pleine d'informations.
Le plus compliqué ne sera pas de chercher, mais plutôt de savoir quoi chercher en fait

Je vais continuer à glaner des infos pour voir s'il y a d'autres choses pour protéger un site.
Comme exposé, le site va contenir des pdf/ video qui seront accessibles aux clients.
Mais je n'ai pas envie qu'une personne sans compte puisse avoir accès à tous mes éléments.

Comme je ne m'y connais pas beaucoup, je ne sais pas les moyens qui existent pour protéger :
. Le contenu qui est hébergé sur ma solution d'hébergement (Un aspirateur de site ou autre peut il y accéder ? ), quelles sont les bonnes pratiques... ?
. L'interface vers mes dossiers => Le site (Avec la piste de Pytet pour masquer les liens directs vers ces mêmes fichiers/dossiers)

[BOU59000]

J'ai parcouru la documentation (je ne comprends jamais ce genre de docs... du coup je teste pour comprendre )...

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<?php readfile("Montexte.txt");?>

Effectivement cela m'affiche directement le texte qui est contenu dans mon fichier .txt est dans le code source de la page je ne retrouve aucune trace de la location de mon fichier Montexte.txt.

J'ai trouvé des exemples très compliqué pour la lecture de vidéo, je comprends une partie mais je bloque sur la base...

A savoir, comment utiliser readfile dans le cas d'une vidéo ?

Pour lire une vidéo, j'ai par exemple ce code ci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<video class="cp1_n_1_article_video" controls>
								
      <source src="Section/Accueil/FR_Video_001.mp4" type="video/mp4">
										
      Votre navigateur ne supporte pas la balise vidéo
									
</video>

Pour la vidéo, j'ai écris ceci (qui ne fonctionne pas) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<video class="cp1_n_1_article_video" controls>
					
	<?php
	readfile("Section/Accueil/FR_Video_001.mp4");
					
	//<source src="Section/Accueil/FR_Video_001.mp4" type="video/mp4">
										
	//Votre navigateur ne supporte pas la balise vidéo --> J'imagine que je vais gérer ce message la si readfile ne trouve rien = cas du false ?
	?>
									
</video>

Je ne comprends pas trop comment le manipuler avec des éléments vidéos (pour les pdf ca sera certainement le même problème).

Si vous pouviez m'éclairez sur cette partie, cela me permettra de décortiquer des codes plus complexes que j'ai trouvé et avancer sur ce sujet là.

D'avance merci pour votre aide

[mathieu]

la balise "source" va lancer une nouvelle requête http vers l'url indiqué.
donc pour filtrer l'accès à cette ressource, vous allez utiliser un script php comme cela :

Code html :

Sélectionner tout - Visualiser dans une fenêtre à part

<source src="script.php?id_fichier=452" type="video/mp4">

puisque vous voulez faire cela en php, je vous conseille de créer une nouvelle discussion dans le forum php si vous avez des questions pour réaliser cela.

[BOU59000]

Merci pour vos retours.

Je vais donc fermer cette discussion et en ouvrir une plus spécifique dans le forum php.

Encore merci