Discussion :

[pounie]

Bonjour,

Je viens de créer sur mon site des pages protégées par Login et Mot de Passe via phpSecurePages.
Jusque là pas de problèmes.

Dans ces pages il y a des liens vers des fichiers .pdf, ceux s'ouvrent bien mais j'ai constaté qu'il suffit de copier l'adresse et de l'envoyer via un autre navigateur et ces fichiers s'ouvrent sans demander ni login ni mot de passe.
En fait cela zappe la protection.

Existe t'il une parade à cela, comment faire pour que ce pdf ne s'ouvre qu'avec la session crée ?

Merci pour vos réponses

Jean-Mimi

[sabotage]

Il s'agit d'un lien direct vers un fichier pdf stocké sur le serveur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="fichier.pdf">

?

[pounie]

Il s'agit d'un lien direct vers un fichier pdf stocké sur le serveur

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a href="fichier.pdf">

?

Hello,

Exact,
voilà dans la page protégée par un Login et Mot de Passe le lien vers le .pdf :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<a onclick="window.open(this.href, '_blank'); return false;" href="Accesreserve/toto.pdf">test</a><br>

[alain31tl]

Bonjour, peut-être une formulation dans le genre ferait l'affaire.
Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<a onclick="window.open(this.href, '_blank'); return false;" href="
<?php
if ((isset($_SESSION['login'])) 
{ 
print("Accesreserve/toto.pdf");
}
else
{
print("page-identification.php");
}
?>
">test</a>

[sabotage]

Ta methode ne changerait pas le problème alain, si un utilisateur indique manuellement le nom du fichier, il y aurait accès.

Il faudrait :
- placer les fichiers dans un dossier interdit d'accès
- utiliser une page intermediaire qui recoit le fichier a fournir en paramètre, vérifie la session et si c'est ok, fourni le fichier :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
if (isset($_SESSION['login'])) {
$file = nettoyage($_GET['fichier'];
header("Content-disposition: attachment; filename=" . $file); 
header('Content-Type: application/octet-stream');
header('Content-Transfer-Encoding: binary');
     echo file_get_contents('repertoire_interdit/' . $file);

Dans mon code, il manque la fonction nettoyage qui servirait a controler que le nom de fichier fourni est correct et ne contient rien de louche.

[pounie]

Bonjour, peut-être une formulation dans le genre ferait l'affaire.
Exemple :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
<a onclick="window.open(this.href, '_blank'); return false;" href="
<?php
if ((isset($_SESSION['login'])) 
{ 
print("Accesreserve/toto.pdf");
}
else
{
print("page-identification.php");
}
?>
">test</a>

Merci pour la réponse
Attention il y a une parenthèse en trop au début du if.

Ok j'ouvre bien le pdf, mais si en copiant l'url www.titi/Accesreserve/toto.pdf
dans un autre navigateur le pdf s'ouvre sans rien demander.

J'ai bien cherché avec notre ami Google mais je n'ai rien trouvé.
un moyen de contourner le problème et éviter que des petits malins retrouvent le nom du fichier c'est de le renommer d'une manière "exotique", c'est à dire au lieu de toto.pdf mettre a125gft45.pdf

Mais c'est sur c'est pas très technique.

[alain31tl]

Ta methode ne changerait pas le problème alain, si un utilisateur indique manuellement le nom du fichier, il y aurait accès.

Dans cette hypothése, en effet.
En fait, tout dépend du niveau auquel ce fichier doit être protégé, et dans quelles conditions.
J'étais parti sur cette suggestion car le chemin et le nom du fichier demeurait invisible si pas de session.

Maintenant si les individus peuvent se filer l'info, je ne vois pas comment protéger le truc.
Exemple :
Si je peux acéder à cette info, je peux aussi bien communiquer le lien, tout comme faire une copie du pdf acquis et la distribuer.

[pounie]

Dans cette hypothése, en effet.
En fait, tout dépend du niveau auquel ce fichier doit être protégé, et dans quelles conditions.
J'étais parti sur cette suggestion car le chemin et le nom du fichier demeurait invisible si pas de session.

Maintenant si les individus peuvent se filer l'info, je ne vois pas comment protéger le truc.
Exemple :
Si je peux acéder à cette info, je peux aussi bien communiquer le lien, tout comme faire une copie du pdf acquis et la distribuer.

Hello Alain,

Je suis d'accord avec toi.
Bon le site que je gère c'est pas non plus celui du Pentagone.
Ce que je vais faire c'est nommer mes fichiers .pdf avec des intitulés qui ne veulent rien dire (du style 125fg54.pdf)
Les pages sont déjà protégées par un Login et MdP.

Je pensais bien que ce problème était ardue, merci d'y avoir réfléchi

[alain31tl]

Ce que je vais faire c'est nommer mes fichiers .pdf avec des intitulés qui ne veulent rien dire (du style 125fg54.pdf)

Ou même peut-être bien utiliser la fonction "rename" aprés chaque open du fichier.

[pounie]

Ou même peut-être bien utiliser la fonction "rename" aprés chaque open du fichier.

Hello,

Merci à tous pour votre aide.

Je clos donc le sujet

A bientôt

Jean-Mimi