CHMOD et HTMLFermé

Question

Bonjour,

comment fait on le lien entre le chmod et un site web??

Je m'explique, j'ai un site avec possibilité d'uploader des donner sur un espace disque bien precis.
J'ai donc un repertoire en chmod 226 . tout le monde peut ecrire mais seul le proprietaire peu lire les infos .

Comment faire le rapprochement entre cet politique et les membres de mon site web ?
Comment mon serveur Web Apache vas t-il faire le lien entre "utilisateur connecté"  et "membre du groupe" ?

Mikey_UFC · Answer

Je pense que c'est à toi de faire le lien en stockant les infos en base de données ( propriétaire du fichier, groupe autorisé à lire ).

Car tout utilisateur sera www-data ou apache suivant la configuration d'Apache.

-CCM- · Answer

Re salut mikey ;) ,

Tu me dis donc, pour chaque enregistrement que je fait en php --> sur ma BDD mysql   je doit modifier mon
 --> www-data  pour attribuer les droits qui vont avec ??

pourrais tu me guider pour un utilisateur particulier. (pour comprendre la mecanique ... )

J'ai un dossier "toto" , je veux que seul l'administrateur nommé "admin" dans ma bdd ai les droits en écriture. Que tout le monde puissent lire ou executer les fichiers. (chmod 755 ).

Comment ajouter admin dans le groupe "proprietaire"?
Comment apache va t-il reconnaitre que c'est un "admin" qui exerce une action sur ce dossier "toto" et non une autre personne?
Merci

Mikey_UFC · Answer

Ce n'est pas ce que j'ai dit.

Tout le monde aura les mêmes droits sur les dossiers car tous seront le même utilisateur.

Il faut que toi tu gères les droits en BDD et avec les infos stockées, tu gères les actions que les utilisateurs peuvent effectuer.

-CCM- · Answer

en faite tu me propose de garder les dossier en 777 (pour que les admin puissent ecrire et lire)
et en parallèle je gère la sécurité , l'acces a ce repertoire au niveau de la bdd ...
Je le fait deja en partie, pour donner des privilèges sur des pages php mais pour les dossier sa me parait pas faisable en passant par une BDD....

J'ai mit une bonne couche de sécurité mais j'aurais aimer completer tout sa....
pense tu que un fichier "index.html" vide suffit pour empecher la lecture d'un repertoire??

Mikey_UFC · Answer

Peut-être existe-t-il une autre solution mais la je ne la vois pas.

Voila, en fait après, suivant les droits de l'utilisateur tu lui affiches ou pas les boutons pour uploader, downloader, ou lire. Et si il n'a pas les droits pour regarder un dossier, tu ne lui affiches pas.

Désolé mais j'ai pas bien compris la dernière question.

-CCM- · Answer

en faite le fait qu'il n'accede pas au lien pour le téléchargement c'est une chose (je le gère grace a l'authentif que j'ai monté avec toi ;)  )

mais via un url il pourra remonter au dossier :

si un jour toto se connecte et j télécharge un document (il a cet url dans son navigateur ):

www.mondomaine.net/mon_rep_documents/document_toto.pdf

tata est avec lui, il va sur son pc est essai de piquer le même document que son camarade en entrant simplement dans l'url :
www.mondomaine.net/mon_rep_documents/document_toto.pdf
et hop ... il telecharge le document ....

si il veut lire le repertoire complet pour voir la liste de documents :
www.mondomaine.net/mon_rep_documents/

hop une belle page blanche serveur  lui affiche la liste des documents contenu dans /mon_rep_documents...

Mikey_UFC · Answer

Ou alors tu peux interdire l'affichage du contenu des dossiers.

-CCM- · Answer

mais avec un url, et un simple navigateur, on pourra se balader ...de document en document !

Mikey_UFC · Answer

Ben tu crées pas les dossiers dans l'arborescence WEB alors.

-CCM- · Answer

C'est a dire ... je les met sur un  autre repertoire de mon serveur ... mais comment les rendre accessibles aux personnes authentifier si il ne sont pas heberger ??

(je crois que tu vas devenir fou  !!! lol désolé..)

Bon je te resume un peu avec un cas concret ....

Mr Gentil à un mot de passe et un login pour se connecter a mon site, il se connecte et peut telecharger ses dernières photos de vacances.... sur http://mes_vacances_.biz/membres_logués/photos/piscine_1.jpeg

Mr Mechant est un amis de Mr gentil, il est souvent avec lui lors de sa connection a ce site ... il n'a jamais reussi a noter le mot de passe de son ami naïf, il a par contre relevé l'url.

Mr Mechant, vas chez lui et en cachet il ouvre ExplorFox-I , son navigateur web,  et entre l'url http://mes_vacances_.biz/membres_logués/photos/piscine_1.jpeg

Bingo il tombe dessus !!!

En effet les pages php, contienent bien du code pour empecherqu'un membre non loguer ne se connecte au pages, mais il n'en est rien pour les fichier images, pdf, doc qui n'on aucune sécurité :s  ...


Comment les proteger ?  --> proteger le dossier  ../photo/  est ce possible avec les chmod ?
Si oui, comment le serveur vba reconnaitre Mr Gentil comme etant gentil (a laisser passer ) et Mr Mechant comme etant mechant  (a bloquer) !!

Merci a toi M ikey ;)

Mikey_UFC · Answer

Bon, ton site est stocké dans /var/www/ton_site/
tu stockes tes fichiers dans : /var/fichiers/

Après sur la page ou tu affiches la liste des fichiers qu'il peut DL :
Quand il choisit un fichier tu fais une redirection vers dl.php qui contient :


// Du code pour tester que l'utilisateur a bien le droit de récup ce fichier
// et pour récupérer le nom du fichier et le chemin ou il est stocké

header("Content-Type: application/force-download");
header("Content-disposition: attachment; filename=".$nom_de_fichier);
header("Cache-control: private");
header("Pragma: ");
readfile($chemin_complet_du_fichier);


Voilà, mais ce n'est qu'une suggestion...

-CCM- · Answer

wow tu m'apprends quelque chose la ;)

j'ai donc ma page qui contient une liste de document a telecharger, disons qu'elle s'appelle dl.php...
Cette page est sous var/www/.

Le code pour le test est déja en place .... 

 "session_start(); // On relaye la session
	if (session_is_registered("authentification"))
	{
		// c'est bon il est authentifier
	}
	else 
	{
	header("Location:le rediriger ailleur pour qu'il aille s'authentifier
	}

.
.
.
// mon url est du type
<a href=../photos/$utilisateur/$periode/$nom_photo target=_blank>
"

avec ../photos =  var/www/photos/


je fait comment pour modifier cet URL avec les lignes php que tu m'a donner ??

Je place où sa :

header("Content-Type: application/force-download");
header("Content-disposition: attachment; filename=".$nom_photo);
header("Cache-control: private");
header("Pragma: ");
$chemin_complet_du_fichier=var/dossier_images/photos/$utilisateur/$periode/$nom_photo
readfile($chemin_complet_du_fichier);

dans mon header?
et je remplace par quoi mon pauvre lien html ?

Désolé je débute... enfin je découvre cette maniere d'uploader ..

Mikey_UFC · Answer

C'est pas ça :
ex : ton répertoire web est : /var/www/
 ton site : /var/www/monSite/
 tes fichiers ( et l'architecture que tu veux ) /var/fichiers/  => pas dans www donc pas accessible directement.

Une page liste de document : /var/www/monSite/liste.php => qd tu choisis un fichier ( id_fichier=1 ) tu rediriges vers : /var/www/monSite/dl.php?id_fichier=1

dl.php
session_start(); // On relaye la session
if (session_is_registered("authentification"))
{
  if ( cet utilisateur peut DL ce fichier )
  {
    header("Content-Type: application/force-download");
    header("Content-disposition: attachment; filename=".$nom_photo);
    header("Cache-control: private");
    header("Pragma: ");
    $chemin_complet_du_fichier=var/dossier_images/photos/$utilisateur/$periode/$nom_photo
    readfile($chemin_complet_du_fichier);

  }
  else
    redirection => vous n'avez pas le droit de DL ce fichier
}
else 
{
  header("Location:le rediriger ailleurs pour qu'il aille s'authentifier
}

A voir pour les redirections, peut-être pop-up pour DL donc à voir pour les autres redirections.

CHMOD et HTML

13 réponses

Discussions similaires

Newsletters