Blog

Comment protéger ses images et se protéger du clickjacking
Avr 11 Écrit par  GheeraertM
Publié dans Hébergement

Comment protéger ses images et se protéger du clickjacking

Évaluer cet élément
(0 Votes)

Suite à une constatation d'un "chasseur de bug" sur open-ivy.org, j'ai cherché à empêcher un utilisateur landa d'utiliser nos images (photos) en utilisant l'url pour l'afficher sur un autre site que ceux autorisés. Ce qui n'est déjà pas sympa à faire sans l'accord de l'auteur mais aussi pour ne pas utiliser la bande passante d'un serveur à son profit ou détourner les internautes du vrai site.

Etant sous Linux avec Lighttpd, pas d'apache...

Avec lighty les .htaccess ne servent à rien donc il faut ajouter les lignes suivantes dans /etc/lighttpd/lighttpd.conf:

$HTTP["referer"] !~ "^($|http://.*\.(domaine1\.be|^$|domaine2\.*|google\.*|yahoo\.*))" {
$HTTP["useragent"] !~ "msnbot-media" {
$HTTP["useragent"] !~ "Mediapartners-Google" {
$HTTP["useragent"] !~ "Yahoo-MMCrawler" {
url.access-deny = ( ".jpg", ".jpeg", ".png", ".gif" )
}
}
}
}

Ce qui signifie... que l'on donne accès aux fichiers: .jpg, .jpeg, .png, .gif (à vous de choisir les extensions adaptées à votre site) uniquement aux sites dont le domaine est:

  • domaine1.be
  • domaine2 point n'importe quels points (be, com, fr, c'est sans importance)
  • Mais aussi aux différents moteur de recherche (ce qui n'est pas du tout obligatoire mais si vous cerchez à être référencé c'est mieux...).

N'hésitez pas à me donner votre avis et proposer les améliorations possibles.

Tags: :
231 Dernière modification le vendredi, 25 décembre 2020

Éléments similaires (par tag)

Plus dans cette catégorie : Obliger l'utilisation du www. quand vous utilisez lighttpd »

Laissez un commentaire

Assurez-vous d'entrer toutes les informations requises, indiquées par un astérisque (*). Le code HTML n'est pas autorisé.

Retour en haut