Blog

Avr 11 Écrit par  GheeraertM
Publié dans Hébergement

Comment protéger ses images et se protéger du clickjacking

Évaluer cet élément
(0 Votes)

Suite à une constatation d'un "chasseur de bug" sur open-ivy.org, j'ai cherché à empêcher un utilisateur landa d'utiliser nos images (photos) en utilisant l'url pour l'afficher sur un autre site que ceux autorisés. Ce qui n'est déjà pas sympa à faire sans l'accord de l'auteur mais aussi pour ne pas utiliser la bande passante d'un serveur à son profit ou détourner les internautes du vrai site.

Etant sous Linux avec Lighttpd, pas d'apache...

Avec lighty les .htaccess ne servent à rien donc il faut ajouter les lignes suivantes dans /etc/lighttpd/lighttpd.conf:

$HTTP["referer"] !~ "^($|http://.*\.(domaine1\.be|^$|domaine2\.*|google\.*|yahoo\.*))" {
$HTTP["useragent"] !~ "msnbot-media" {
$HTTP["useragent"] !~ "Mediapartners-Google" {
$HTTP["useragent"] !~ "Yahoo-MMCrawler" {
url.access-deny = ( ".jpg", ".jpeg", ".png", ".gif" )
}
}
}
}

Ce qui signifie... que l'on donne accès aux fichiers: .jpg, .jpeg, .png, .gif (à vous de choisir les extensions adaptées à votre site) uniquement aux sites dont le domaine est:

  • domaine1.be
  • domaine2 point n'importe quels points (be, com, fr, c'est sans importance)
  • Mais aussi aux différents moteur de recherche (ce qui n'est pas du tout obligatoire mais si vous cerchez à être référencé c'est mieux...).

N'hésitez pas à me donner votre avis et proposer les améliorations possibles.

Tags: :
231 Dernière modification le vendredi, 25 décembre 2020

Laissez un commentaire

Assurez-vous d'entrer toutes les informations requises, indiquées par un astérisque (*). Le code HTML n'est pas autorisé.