@ Thomas Crespin,

Malheureusement, les élèves dans notre lycée à Stéphane L et moi même ont
déjà trouvé ... C'est un de mes élèves de seconde qui est venu me dire que
c'était possible d'accéder à n'importe quelle photo ... Du coup,
l'information a du vite circuler entre élèves ...

Pas besoin d'installer un gepi en local, il suffit de repérer où est SA
photo, puis de modifier le numéro et d'avoir un peu de chance ... C'est
même scriptable, j'ai testé avec un wget chez moi, et je sais que dans
notre lycée, nous avons par exemple des férus d'Autoit, donc ils peuvent
récupérer n'importe quelle photo.

Sur le fond, je ne suis pas sur que ce soit gênant, mais l'utilisation
injurieuse qui vient d'en être faite chez nous montre qu'il serait mieux de
ne pas tenter le diable.

Cordialement

Nicolas Lebrun

Le 16 mars 2012 12:41, Stephane Boireau <[email protected]> a
écrit :

> Bonjour,
>
> Le 16/03/2012 10:23, Delineau Laurent a écrit :
>
>  Personnellement, j'ai ajouté un fichier .htaccess dans le répertoire
>> /photos/eleves contenant les lignes :
>>
>> RewriteEngine on
>> RewriteCond %{HTTP_REFERER} !^(.*)ent.lpi.ac-poitiers.fr/**
>> Plugins/Gepi/(.*)$ <http://ent.lpi.ac-poitiers.fr/Plugins/Gepi/%28.*%29$>
>> RewriteCond %{HTTP_REFERER} 
>> !^(.*)10.186.53.1/Plugins/**Gepi/(.*)$<http://10.186.53.1/Plugins/Gepi/%28.*%29$>
>> ReWriteRule .*\.(jpg|JPG|jpeg|JPEG)$
>> https://ent.lpi.ac-poitiers.**fr/spip/spip.php?page=error_**
>> acces_restreint<https://ent.lpi.ac-poitiers.fr/spip/spip.php?page=error_acces_restreint>
>> [NC,L]
>>
>> Ainsi, si quelqu'un essaye de télécharger une image en direct, il a
>> droit à un message d'erreur.
>> De façon plus générale, toute adresse qui n'est pas du type "...
>> ent.lpi.ac-poitiers.fr/**Plugins/Gepi/..<http://ent.lpi.ac-poitiers.fr/Plugins/Gepi/..>."
>> ou bien
>> "...10.186.53.1/Plugins/Gepi/.**. <http://10.186.53.1/Plugins/Gepi/..>."
>> et qui pointe sur une image jpeg est
>> rejetée. On peut sans aucun doute contourner cette barrière mais c'est
>> déjà mieux que rien.
>> vous pouvez voir ce que ça donne en cliquant sur le lien :
>> https://ent.lpi.ac-poitiers.**fr/Plugins/Gepi/photos/eleves/**04454.jpg<https://ent.lpi.ac-poitiers.fr/Plugins/Gepi/photos/eleves/04454.jpg>
>>
>
> Pas testé, mais c'est une astuce intéressante à mettre dans le wiki si ça
> fonctionne.
> L'inconvénient c'est que ça ne va fonctionner qu'avec un serveur web
> apache et ceci seulement si le module approprié est installé.
>
> Il va donc falloir qu'on modifie la façon dont les photos sont nommées.
>
>
>
> Cordialement.
> --
> Stephane Boireau
> Collège Le Hameau - Bernay (27)
> http://stephane.boireau.free.**fr/gadgets/crobards.html<http://stephane.boireau.free.fr/gadgets/crobards.html>
> ______________________________**______________________________**
> _____________________
> Documentation Gepi en ligne : 
> http://www.sylogix.org/**projects/gepi/wiki<http://www.sylogix.org/projects/gepi/wiki>
> Pour modifier ou résilier votre abonnement à cette liste :
> https://lists.sylogix.net/**mailman/listinfo/gepi-users<https://lists.sylogix.net/mailman/listinfo/gepi-users>
>
_________________________________________________________________________________
Documentation Gepi en ligne : http://www.sylogix.org/projects/gepi/wiki
Pour modifier ou résilier votre abonnement à cette liste :
https://lists.sylogix.net/mailman/listinfo/gepi-users

Répondre à