@ Thomas Crespin, Malheureusement, les élèves dans notre lycée à Stéphane L et moi même ont déjà trouvé ... C'est un de mes élèves de seconde qui est venu me dire que c'était possible d'accéder à n'importe quelle photo ... Du coup, l'information a du vite circuler entre élèves ...
Pas besoin d'installer un gepi en local, il suffit de repérer où est SA photo, puis de modifier le numéro et d'avoir un peu de chance ... C'est même scriptable, j'ai testé avec un wget chez moi, et je sais que dans notre lycée, nous avons par exemple des férus d'Autoit, donc ils peuvent récupérer n'importe quelle photo. Sur le fond, je ne suis pas sur que ce soit gênant, mais l'utilisation injurieuse qui vient d'en être faite chez nous montre qu'il serait mieux de ne pas tenter le diable. Cordialement Nicolas Lebrun Le 16 mars 2012 12:41, Stephane Boireau <[email protected]> a écrit : > Bonjour, > > Le 16/03/2012 10:23, Delineau Laurent a écrit : > > Personnellement, j'ai ajouté un fichier .htaccess dans le répertoire >> /photos/eleves contenant les lignes : >> >> RewriteEngine on >> RewriteCond %{HTTP_REFERER} !^(.*)ent.lpi.ac-poitiers.fr/** >> Plugins/Gepi/(.*)$ <http://ent.lpi.ac-poitiers.fr/Plugins/Gepi/%28.*%29$> >> RewriteCond %{HTTP_REFERER} >> !^(.*)10.186.53.1/Plugins/**Gepi/(.*)$<http://10.186.53.1/Plugins/Gepi/%28.*%29$> >> ReWriteRule .*\.(jpg|JPG|jpeg|JPEG)$ >> https://ent.lpi.ac-poitiers.**fr/spip/spip.php?page=error_** >> acces_restreint<https://ent.lpi.ac-poitiers.fr/spip/spip.php?page=error_acces_restreint> >> [NC,L] >> >> Ainsi, si quelqu'un essaye de télécharger une image en direct, il a >> droit à un message d'erreur. >> De façon plus générale, toute adresse qui n'est pas du type "... >> ent.lpi.ac-poitiers.fr/**Plugins/Gepi/..<http://ent.lpi.ac-poitiers.fr/Plugins/Gepi/..>." >> ou bien >> "...10.186.53.1/Plugins/Gepi/.**. <http://10.186.53.1/Plugins/Gepi/..>." >> et qui pointe sur une image jpeg est >> rejetée. On peut sans aucun doute contourner cette barrière mais c'est >> déjà mieux que rien. >> vous pouvez voir ce que ça donne en cliquant sur le lien : >> https://ent.lpi.ac-poitiers.**fr/Plugins/Gepi/photos/eleves/**04454.jpg<https://ent.lpi.ac-poitiers.fr/Plugins/Gepi/photos/eleves/04454.jpg> >> > > Pas testé, mais c'est une astuce intéressante à mettre dans le wiki si ça > fonctionne. > L'inconvénient c'est que ça ne va fonctionner qu'avec un serveur web > apache et ceci seulement si le module approprié est installé. > > Il va donc falloir qu'on modifie la façon dont les photos sont nommées. > > > > Cordialement. > -- > Stephane Boireau > Collège Le Hameau - Bernay (27) > http://stephane.boireau.free.**fr/gadgets/crobards.html<http://stephane.boireau.free.fr/gadgets/crobards.html> > ______________________________**______________________________** > _____________________ > Documentation Gepi en ligne : > http://www.sylogix.org/**projects/gepi/wiki<http://www.sylogix.org/projects/gepi/wiki> > Pour modifier ou résilier votre abonnement à cette liste : > https://lists.sylogix.net/**mailman/listinfo/gepi-users<https://lists.sylogix.net/mailman/listinfo/gepi-users> >
_________________________________________________________________________________ Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki Pour modifier ou résilier votre abonnement à cette liste : https://lists.sylogix.net/mailman/listinfo/gepi-users
