Discussion :

[mkaffel]

Bonjour,

Je suis a la recherche d'une solution pour protéger des contenus images et vidéos qui se trouvent sur mon serveur Web.

En effet, je travaille avec une entreprise XXX qui utilise directement l'adresse http du contenu sur mon serveur pour son application.

Nous travaillons avec un code contenu et un code format pour chaque contenu.

A l'heure actuelle, l'entreprise XXX m'envoie une requête http avec le code image qu'elle veut obtenir et moi je lui répond avec l'url de l'image.

Cela pose un problème grave de sécurité car l'entreprise XXX pourrait aspirer tout mon contenu a terme en constituant une table liant un code contenu et son url.

Il me faut donc absolument un moyen pour que ma réponse http soit simplement un lien temporaire vers le contenu.

J'ai eu différentes idées, mais elles ne répondent pas complètement a mon attente :

* faire de l'url rewriting : je ne passe plus directement l'url du contenu mais possibilité d'accéder au contenu via la nouvelle URL -> ne change rien au final

* utilisation d'une table de base de données avec les colonnes (Code_contenu, Hash, DateTime) et chaque requête de l'entreprise XXX ajouterait une ligne dans cette base et supprimerait les lignes qui datent de plus de y minutes par exemple -> parait lourd pour mon SGBD et je ne sais pas comment faire pour que l'url avec le hash me donne le lien de l'image en sortie (peut-être un GET mais je suis pas sur)

Voila je sais que le problème est pas simple et que je me suis pas forcement très bien exprime, donc n'hésitez pas a me demander des précisions.

Toute aide est la bienvenue et je vous remercie d'avance pour toute contribution.

Merci

K.M.

[popovitch130]

Il me faut donc absolument un moyen pour que ma réponse http soit simplement un lien temporaire vers le contenu.

Tu peux pas passer par un identifiant de session en spécifiant une durée de session ? Tu leur renvoi un lien avec tes paramètres et ton id de session temporaire (voir avec session_set_cookie_params ...)

[kaymak]

Salut,

L'idée du hash me semble utile si tu souhaites empêcher le téléchargement d'un contenu plusieurs fois par la même personne.

Pour empêcher un utilisateur d'aspirer le contenu... Ben tu ne peux pas vraiment ^^
Mais tu peux mettre des limites. Si un client télécharge plus d'une image en 5 seconde, par exemple, tu le bloques. Ou bien, dépasser un quota journalier/horaire de téléchargement, hopes tu bloques.

Sinon tu peux aussi essayer de ne pas divulguer les codes permettant d'accéder à l'image le plus possible pour nuire à la création d'un catalogue.
Ce n'est pas une solution ultime mais l'obsfucation est déjà un bon point de départ.
Via un hash dynamique cette fois ci.

bye

[mkaffel]

Merci a tous les deux pour vos réponses

popovitch130 ta réponse pourrait tout a fait convenir a mon besoin, c'est a dire que la réponse serait du type http://nom du serveur/get_image.php?code=%le code du contenu%&format=%le format du contenu%&session_id=%id de session% le lien pointerait sur l'image avec un test de validité de la session.

Sinon kaymak ta réponse est complémentaire. En effet, avec la méthode de popovitch130 je ne me protège pas complètement contre l'aspiration de contenu (ce qui est impossible d'ailleurs comme tu l'as dit) vu que l'entreprise XXX pourra toujours aspirer l'image a chaque fois qu'elle me fera une requête, mais l'obfuscation reste un bon moyen de les empêcher de créer un catalogue de mon contenu.