Journal Partager ses photos et auto-hébergement

Posté par  . Licence CC By‑SA.
Étiquettes :
21
4
oct.
2018

Bonjour,

Un journal pour vous dire que je suis depuis un bon moment très content de Piwigo pour héberger et partager mes photos.

Pour des raisons personnelles, je ne souhaitais pas mettre mes photos sur Google, Apple, Amazon, etc. (et je n'ai pas trop envie de me lancer dans un débat stérile sur mes raisons, après tout j'ai le droit de faire ce que je veux…). Du coup j'ai cherché une solution libre que je pouvais héberger moi-même sur mon serveur.

Mon cahier des charges était relativement simple :
- solution libre
- possible de synchroniser un répertoire de photos en local avec rsync
- gestion des accès (certaines personnes ont accès à certains albums)
- possibilité de lire des vidéos
- plaisant et simple à utiliser (je sais c'est subjectif)

En bonus j'aurais aussi aimé un client pour OS mobile (iOS et Android) et pouvoir générer des URL semi-privées (i.e. il suffit de cliquer sur une URL générée aléatoirement pour accéder à l'album).

Depuis 2 ans que je l'utilise, tout fonctionne (presque) parfaitement et le logiciel, extensions et apps associées sont mises à jour régulièrement.

En cas de soucis, j'ai presque toujours réussi à contacter les auteurs pour résoudre rapidement les problèmes. La communauté est vraiment sympathique.

Il y a néanmoins quelques réserves :
- sauf si vous utiliser le truc de l'URL semi-privée (qui n'est vraiment pas facile à mettre en place), vos amis devront entrer leurs identifiants pour accéder aux photos. Cela décourage (!) pas mal de gens.
- c'est en PHP et il faut bien suivre les mises à jour de sécurité. Pour ma part j'ai plus ou moins botté le problème en touche en rajoutant une couche de HTTP Basic Access Authentication (et username/password unique et ajouté à l'URL). Cela fonctionne bien, sauf sous iOS qui refuse ce genre d'URL (où du coup il faut entrer manuellement username et password). Et cela permet d'avoir un premier niveau de protection relativement intéressant et me permet de ne pas être trop pressé pour faire les mises à jour.
- Piwigo est principalement conçu maintenant pour uploader ses photos via l'interface web. Si vous faites cela à l'ancienne à coup de rsync, il faut faire attention (pas de caractères spéciaux, orientation des photos, horodatage des photos, format des vidéos).

Cependant les dernières versions des clients mobiles que j'utilisent (Piwigo pour iOS et Piwigoclient sous Android) permettent enfin d'accéder à ma galerie (j'ai eu quelques bogues ou fonctionnalités manquantes).
Du coup j'ai pu installer les apps sur les appareils des membres de ma famille qui peuvent ainsi beaucoup plus facilement accéder au photo.

Voilà, c'était donc un journal pour exprimer ma satisfaction. Bravo et merci beaucoup à l'équipe de Piwigo (et extensions et applications associées).

  • # Piwigo c'est cool

    Posté par  . Évalué à 8.

    Par contre moi c'est toute la famille qui upload et je veux un backup bien organiser en local ( pour consultation sur le kodi brancher sur la tv du salon.

    J'avais donc dev un script ruby pour synchroniser piwigo sur mon dédié et le filesystem en local

    Si ça peux être utile a quelqu'un … :)

    require 'mechanize'
    require 'json'
    require 'fileutils'
    require 'pp'
    
    #Variable
    username = 'XXXXX'
    password = 'XXXX'
    wsurl    = 'http://XXX.XXXX.XXX/ws.php?format=json'
    rootpath = "/home/data/Images/webgallery/"
    
    #Start Mechanize agent
    agent = Mechanize.new
    
    #Auth against the gallery
    data = "method=pwg.session.login&username=#{username}&password=#{password}"
    response = agent.post(wsurl, {
      "method" => "pwg.session.login",
      "username" => username,
      "password" => password
    })
    
    #Get Album list
    response = agent.get( "#{wsurl}&method=pwg.categories.getList&recursive=true")
    
    
    puts "List folders and pictures ..."
    
    #Source Album and picture array
    result = JSON.parse(response.body)
    album_h = {}
    folder_a = []
    pictureurl_h = {}
    picturepath_h = {}
    result['result']['categories'].each do |album|
      album_h[album['id']] = album['name']
      catspath = album['uppercats'].split(',')
      fullpath = rootpath
      until catspath.empty?
        fullpath = "#{fullpath}#{album_h[catspath.shift.to_i]}/"
      end
      folder_a<<fullpath
      if album['nb_images'] > 0 then
        response = agent.get( "#{wsurl}&method=pwg.categories.getImages&cat_id=#{album['id']}&per_page=500") 
        result2 = JSON.parse(response.body)
        result2['result']['images'].each do |image|
          pictureurl_h[image['id']] = "#{image['element_url']}"
          picturepath_h[image['id']] = "#{fullpath}#{image['file']}"
        end
      end
    end
    
    puts "There is #{pictureurl_h.to_a.count} pictures in #{folder_a.count} folders on the webgallery"
    
    #Delete no more needed things
    puts "Now delete local item not present on web"
    
    Dir.glob("#{rootpath}**/*/").each do |localdir|
      unless folder_a.include?(localdir) then
        puts "=> Need to delete #{localdir}"
        FileUtils.rm_r localdir
      end
    end
    • [^] # Re: Piwigo c'est cool

      Posté par  . Évalué à 3. Dernière modification le 04 octobre 2018 à 21:52.

      Merci cela peut être très intéressant pour moi.

      Sinon Kodi cela marche bien pour visualiser les photos en local ?
      La dernière fois que j'avais essayé c'était vraiment pas terrible.

      Depuis je suis toujours à la recherche d'un bon visualiseur de photos sous linux. Pour l'instant je reste sur Geeqie mais je rêve d'un logiciel qui afficherait les photos comme Piwigo avec Bootstrap Darkroom + Gdthumb:
      https://piwigo.org/ext/upload/extension-771/screenshot.jpg
      (i.e sous forme de grille avec masonry layout)

      Idéalement aussi contrôlable et zoomable via le smartphone. J'avais essayé l'app Kodi pour visualiser les photos et cela marchouillait sans plus.

      • [^] # Re: Piwigo c'est cool

        Posté par  . Évalué à 3.

        Non c'est pas forcement ouf , mais quand la famille est la on peux mettre des photos a tournée sur la télé tout en ayant la musique et en prenant l'apéro.

        Donc c'est pas fou , mais ça fait le job :)

  • # L'avenir est à Nextcloud

    Posté par  . Évalué à 10.

    Je dois avouer que Nextcloud a remplacé pour moi ce genre d'usage : il permet le partage brut (une url et basta) et fin (un utilisateur peut modifier un dossier partagé).

    La galerie par défaut est sympa, et ça lit aussi les vidéos. La synchro avec le dossier local se fait avec le client nextcloud. Et enfin c'est intégré à Dolphin, je peux faire un clic droit sur le dossier pour le partager par lien web!

    ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: L'avenir est à Nextcloud

      Posté par  (site web personnel) . Évalué à 2.

      Et enfin c'est intégré à Dolphin, je peux faire un clic droit sur le dossier pour le partager par lien web!

      Ça m'intéresse ! Faut-il configurer quelque chose dans Dolphin, un plugin … ?

      « Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes. »

      • [^] # Re: L'avenir est à Nextcloud

        Posté par  . Évalué à 3.

        Avec Mageia, j'ai juste fait "urpmi nextcloud-client-dolphin"…

        ⚓ À g'Auch TOUTE! http://afdgauch.online.fr

    • [^] # Re: L'avenir est à Nextcloud

      Posté par  . Évalué à 2.

      C'est effectivement une très bonne solution qui peut répondre au besoin de la plupart des gens et simplement.

      De mon côté j'ai aussi un Seafile qui tourne à côté (j'avais tenté Owncloud à l'époque et j'ai jeté l'éponge après d'innombrables bogues, des mises à jour qui foiraient et des performances pas terrible, mais cela a sans doute changé depuis).

      Si quelqu'un est un utilisateur avancé de Nextcloud et de Piwigo, ce serait intéressant de faire une comparaison.
      Piwigo propose vraiment pleins d'extensions différentes (thèmes, plugins…) pour répondre au besoin des photographes les plus exigeants !

  • # Salut à Toi

    Posté par  (site web personnel, Mastodon) . Évalué à 9.

    Bon ben puisqu'on parle des alternatives je vais en profiter pour dire que c'est aussi possible avec SàT. Ça sera disponible dans la version à venir, et je pense que ton cahier des charges est à peu près respecté : libre, gestion d'accès, invitations via URL et vidéos (mais il n'y a pas de multi-encodage, donc pour du multi-plateformes il faudra un format qui passe partout, une amélioration à envisager). Plaisant et simple c'est effectivement subjectif, mais on est ouverts au suggestions/contributions et il y un moteur de thèmes puissants. En prime, XMPP oblige, c'est décentralisé/fédéré.

    C'est simple et encore instable, mais c'est là.

    • [^] # Re: Salut à Toi

      Posté par  . Évalué à 4.

      Il faudrait faire un journal sur le sujet !
      Partager simplement ses photos et vidéos, c'est un besoin très courant, donc si tu as réussi à monter quelque chose qui soit simple et agréable à utiliser, cela devrait intéresser les utilisateurs.

      Depuis que j'utilise Piwigo, je dois cependant noter que c'est loin d'être si facile.
      Entre les problèmes de navigateur ou système d'exploitation, avoir quelque chose de responsive mais qui optimise bien l'espace, avoir des apps disponibles sur iOS/Android, etc.
      C'est quand même beaucoup de boulot !

    • [^] # Re: Salut à Toi

      Posté par  . Évalué à 2.

      En prime, XMPP oblige, c'est décentralisé/fédéré.

      Ça veut dire quoi ? Pour cet usage, je sais ce que signifie chacun des mots.

      • [^] # Re: Salut à Toi

        Posté par  (site web personnel, Mastodon) . Évalué à 2. Dernière modification le 08 octobre 2018 à 01:32.

        Je ne comprends pas ton commentaire, tu demandes à quoi sert la décentralisation pour un album photos ?

        À la même chose que pour un blog. Entre autres, t'as pas besoin de recréer un compte pour voir les photos de toto@example.net alors que t'es chez titi@invalid.fr, tu peux gérer les permissions facilement, tu peux avoir des photos et/ou commentaires à différents endroits, etc.

  • # réponses sur les réserves

    Posté par  (site web personnel) . Évalué à 10.

    Bonjour SaintGermain,

    Je suis le fondateur de Piwigo :-) Merci pour ce journal qui fait bien plaisir à lire. Mes réponses concernant les "réserves" que tu listes.

    • sauf si vous utiliser le truc de l'URL semi-privée (qui n'est vraiment pas facile à mettre en place), vos amis devront entrer leurs identifiants pour accéder aux photos. Cela décourage (!) pas mal de gens.

    Je ne sais pas ce qu'est le "truc de l'URL semi-privée". En revanche je peux te proposer 2 solutions :

    1. tu créées tes utilisateurs, tu leur donnes la permission sur ton album privé, puis tu les notifies (onglet "notification" de la page d'administration de l'album). Ils recevront un email avec un lien avec une clef d'auto-identification. Du coup, ils n'auront pas besoin de s'identifier, ça se fera tout seul.
    2. tu utilises le plugin Share Album. En gros il fait le travail de création d'utilisateur et d'assignation des permissions à ta place et te donnes juste un lien à partager (qui inclut une clef d'identification)
    • c'est en PHP et il faut bien suivre les mises à jour de sécurité.

    A mon avis, il faut surtout bien suivre les mises à jour des applications web que tu utilises (Piwigo, Wordpress, etc.). Je ne dis pas que les alertes de sécurité de PHP sont négligeables, mais que sur une échelle de risque, il y a plus risqué. Et puis il suffit de suivre les mises à jour de ta distribution Linux :-)

    • Piwigo est principalement conçu maintenant pour uploader ses photos via l'interface web. Si vous faites cela à l'ancienne à coup de rsync, il faut faire attention (pas de caractères spéciaux, orientation des photos, horodatage des photos, format des vidéos).

    Si les ~8 premières années du projet, l'ajout par FTP+sync était l'unique moyen d'ajouter des photos, j'avoue en tout transparence que ce mode d'ajout est aujourd'hui plutôt maintenu à titre de fonctionnalité historique. L'effort se concentre sur l'upload web et globalement par l'ajout via API (donc depuis les applis mobiles et autres applications tierces).

    Pour les caractères spéciaux, tu peux modifier la configuration locale pour les autoriser. Mais moi à ta place, j'utiliserais plutôt l'outil Piwigo Remote Sync qui prend ton arborescence locale et la synchronise, via API, à ton Piwigo. Tu as le meilleur des deux mondes :-)

    Concernant les applis mobiles. S'il y a une application iOS officielle, super bien maintenue et très active en terme d'évolution (merci à Eddy pour son boulot), malheureusement il n'y a pas encore d'application Android officielle sur le Play Store. PiwigoClient est une application totalement indépendante (d'ailleurs ils n'ont pas le droit d'utiliser le mot "Piwigo", c'est une marque déposée) et si elle marche tant mieux, mais nous n'y sommes pas associés. La bonne nouvelle, c'est que l'appli Piwigo officielle pour Android, après plusieurs années d'hibernation, se réveille et devrait bientôt arriver sur le Store :-)

    • [^] # Re: réponses sur les réserves

      Posté par  (Mastodon) . Évalué à 5.

      PiwigoClient est une application totalement indépendante (d'ailleurs ils n'ont pas le droit d'utiliser le mot "Piwigo", c'est une marque déposée) et si elle marche tant mieux, mais nous n'y sommes pas associés

      Du peu que je sais du droit des marques si tu ne la défends pas activement elle n'est plus défendable.

      Du coup je te conseillerais de soit leur demander de changer de nom, soit de leur accorder une licence d'utilisation (contre monnaie trébuchante ou gratuitement) en leur demandant de notifier que piwigo est une marque déposée de blah blah blah.

    • [^] # Re: réponses sur les réserves

      Posté par  . Évalué à 3.

      Je ne sais pas ce qu'est le "truc de l'URL semi-privée". En revanche je peux te proposer 2 solutions :

      URL semi-privée, c'est lié au fait que ce n'est pas très sécurisé. Comme cité plus bas, si tes emails sont scannés (genre si ton correspondant est sur mail.ru ou autre), tes photos se retrouvent indexées.
      Seafile par exemple contourne un peu le problème en proposant aussi de protéger avec un mot de passe.
      Donc il ne suffit pas d'avoir le lien, il faut aussi le mot de passe.

      tu créées tes utilisateurs, tu leur donnes la permission sur ton album privé, puis tu les notifies (onglet "notification" de la page d'administration de l'album). Ils recevront un email avec un lien avec une clef d'auto-identification. Du coup, ils n'auront pas besoin de s'identifier, ça se fera tout seul.

      Oui c'est ce que j'utilise. J'avais aussi essayé avec un utilisateur générique mais cela n'avait jamais bien fonctionné sans que je sache bien pourquoi (je n'ai pas réussi à déboguer et cela semble marcher pour les autres). Le problème que je rencontre c'est qu'il faut que j'envoie un faux email pour récupérer le lien car je souhaite envoyer moi-même le lien.

      tu utilises le plugin Share Album. En gros il fait le travail de création d'utilisateur et d'assignation des permissions à ta place et te donnes juste un lien à partager (qui inclut une clef d'identification)

      C'est intéressant, le plugin doit être nouveau car je ne l'avais pas repéré il y 2 ans quand je me suis intéressé à la question. Merci pour l'astuce !

      c'est en PHP et il faut bien suivre les mises à jour de sécurité.

      A mon avis, il faut surtout bien suivre les mises à jour des applications web que tu utilises (Piwigo, Wordpress, etc.). Je ne dis pas que les alertes de sécurité de PHP sont négligeables, mais que sur une échelle de risque, il y a plus risqué. Et puis il suffit de suivre les mises à jour de ta distribution Linux :-)

      Sans vouloir trop m'étendre, il y a plusieurs raisons pour laquelle j'ai rajouté une couche d'HTTP Basic Access Authentication :
      - Il me semble que le niveau de sécurité/confidentialité de Piwigo a un soucis (https://piwigo.org/forum/viewtopic.php?id=20372&p=3). Du coup j'avais essayé de configurer pour empêcher l'accès aux photos sans être connecté (https://github.com/yonjah/piwigo_privacy) mais cela n'avait pas fonctionné. De guerre lasse, j'ai utilisé l'HTTP Basic Access Authentication.
      - J'ai moyennement confiance dans la sécurité des applications PHP (oui c'est un préjugé et j'y travaille)
      - Je n'ai pas beaucoup de temps pour la maintenance de mon système, et je suis Piwigo seulement de temps en temps. Donc je ne suis pas très réactif quand une nouvelle version de Piwigo est disponible pour l'installer (par contre j'ai activé l'installation automatique des mises à jour de sécurité sur ma distribution).

      Bref le HTTP Basic Access Authentication c'est le garde-fou du pauvre.

      Pour les caractères spéciaux, tu peux modifier la configuration locale pour les autoriser. Mais moi à ta place, j'utiliserais plutôt l'outil Piwigo Remote Sync qui prend ton arborescence locale et la synchronise, via API, à ton Piwigo. Tu as le meilleur des deux mondes :-)

      J'avoue que je suis très vieille école sur le problème de la synchronisation et je suis très attaché à rsync. Cela permet de configurer à volonté la synchronisation. J'ai par exemple établie des règles pour ne pas synchroniser certaines photos. Et si je dois interrompre la synchronisation ou la reprendre, j'ai 100% confiance en rsync de bien optimiser la reprise et de ne pas corrompre de fichiers. Je doute malheureusement que Piwigo Remote Sync soit aussi flexible.

      Concernant les applis mobiles. S'il y a une application iOS officielle, super bien maintenue et très active en terme d'évolution (merci à Eddy pour son boulot), malheureusement il n'y a pas encore d'application Android officielle sur le Play Store. PiwigoClient est une application totalement indépendante (d'ailleurs ils n'ont pas le droit d'utiliser le mot "Piwigo", c'est une marque déposée) et si elle marche tant mieux, mais nous n'y sommes pas associés. La bonne nouvelle, c'est que l'appli Piwigo officielle pour Android, après plusieurs années d'hibernation, se réveille et devrait bientôt arriver sur le Store :-)

      L'appli officielle iOS est top. L'appli Piwigoclient sous Android est aussi très bien et l'auteur très sympa. Ce serait dommage de lui causer des soucis à cause du nom. À noter qu'il a intégré le mode optionnel Masonry layout qui permet d'optimiser l'affichage des photos de manières élégantes (et pas dispo sous iOS).

      J'en profite pour poser la question de savoir pourquoi les accès via les applis mobiles ne sont pas enregistrés dans l'historique de Piwigo ? C'est bien dommage…

      En tout cas ton intervention ne fait que renforcer mon impression que l'équipe Piwigo est vraiment dynamique et sympathique !

      Merci pour ce magnifique boulot.

    • [^] # Re: réponses sur les réserves

      Posté par  (site web personnel) . Évalué à 1.

      Si les ~8 premières années du projet, l'ajout par FTP+sync était l'unique moyen d'ajouter des photos, j'avoue en tout transparence que ce mode d'ajout est aujourd'hui plutôt maintenu à titre de fonctionnalité historique. L'effort se concentre sur l'upload web et globalement par l'ajout via API (donc depuis les applis mobiles et autres applications tierces).

      C'est sans doute bien si tu prends 10 photos par mois, mais pour une utilisation intensive…

      Le post ci-dessus est une grosse connerie, ne le lisez pas sérieusement.

      • [^] # Re: réponses sur les réserves

        Posté par  (site web personnel) . Évalué à 2.

        Hum… sur Piwigo.com il n'y a pas d'accès FTP (en tout cas pas en écriture) et on a pourtant certains utilisateurs qui ajoutent des milliers de photos, chaque jour. Où se situe alors la frontière entre utilisation occasionnelle (10 photos par mois) et utilisation intensive ?

    • [^] # Re: réponses sur les réserves

      Posté par  . Évalué à 2.

      Merci pour ton travail !

      Je dois avouer que je suis aussi encore en mode rsync :)
      C'est simple et facile et à automatiser.

  • # Photos chez google

    Posté par  (site web personnel) . Évalué à 6.

    Finalement, en envoyant des liens « semi-privés » est-ce que les photos ne finissent pas par être indexées chez google ? N'y a t-il pas de visites de bots ayant obtenu les liens en analysant les courriels des destinataires ?

    « IRAFURORBREVISESTANIMUMREGEQUINISIPARETIMPERAT » — Odes — Horace

    • [^] # Re: Photos chez google

      Posté par  . Évalué à 4.

      Si tu ne veux pas que ça soit indexé par les moteurs de recherche qui ont pignon sur rue, il suffit de mettre un robots.txt

      • [^] # Re: Photos chez google

        Posté par  . Évalué à 3. Dernière modification le 05 octobre 2018 à 23:17.

        Sa question est pertinente, car tout le monde ne respecte pas le robots.txt.
        Pour ma part, j'ai ajouté une couche d'HTTP Basic Access Authentication pour empêcher ce genre d'accès.

        Du coup dans mon email, je n'ai que le lien unique (les identifiants ayant été envoyé avec un email précédent).
        Ce n'est pas l'idéal, mais cela permet de se protéger contre le scan et accès automatique.

  • # Piwigo et Cialis

    Posté par  (site web personnel) . Évalué à 3.

    C'est trop cool : https://www.google.com/search?q=piwigo+cialis

    En plus les devs s'en foutent assez franchement : https://github.com/Piwigo/Piwigo/issues/827

    Adhérer à l'April, ça vous tente ?

    • [^] # Re: Piwigo et Cialis

      Posté par  . Évalué à 2.

      Effectivement cela me semble un gros trou de sécurité et trouver la faille ne semble pas si facile…
      Cela ne va pas atténuer mon préjugé sur la sécurité des applis en PHP… et je vais continuer à mettre mon Piwigo derrière un HTTP Basic Access Authentication.

      Sinon je viens de tester une nouvelle fois et si on connaît le nom de l'album et le nom du fichier d'une photo, n'importe qui peut toujours accéder à la photo, sans avoir besoin de se connecter.
      C'était un problème remonté en 2012:
      https://piwigo.org/forum/viewtopic.php?id=20372&p=1

      Donc Piwigo c'est bien mais faites très attention à la sécurité et à la confidentialité…

      • [^] # Re: Piwigo et Cialis

        Posté par  (site web personnel) . Évalué à 1.

        Comme dit dans un autre commentaire, fais surtout gaffe à ton accès FTP, si tu en utilises un.

        si on connaît le nom de l'album et le nom du fichier d'une photo,
        n'importe qui peut toujours accéder à la photo, sans avoir besoin
        de se connecter.

        Par défaut c'est vrai. On peut cependant configurer son Piwigo pour systématiquement passer par un script pour afficher une photo. Cela coûte en CPU cependant… voir https://blog.dragonsoft.us/2014/10/15/piwigo-security-protect-your-images/ par exemple pour les paramètres à utiliser.

        Après il faut relativiser ce problème. Si on connaît le chemin d'un fichier, c'est normalement qu'on y a eu accès de façon explicite (si on peut trouver l'url de vos fichiers en la devinant, il faut résoudre le problème en amont). Le problème est donc que la personne peut "partager" l'url avec qqun d'autre. Cette personne pourrait tout aussi bien copier votre photo sur Facebook ! C'est donc une question de confiance envers les personnes avec qui l'on partage ses contenus privés, et pour cela Piwigo ne peut pas faire grand chose.

        • [^] # Re: Piwigo et Cialis

          Posté par  . Évalué à 2.

          Par défaut c'est vrai. On peut cependant configurer son Piwigo pour systématiquement passer par un script pour afficher une photo. Cela coûte en CPU cependant… voir https://blog.dragonsoft.us/2014/10/15/piwigo-security-protect-your-images/ par exemple pour les paramètres à utiliser.

          J'avais bien repéré le lien que vous donnez.
          Mais j'ai été un peu découragé par la complexité de la chose et par les nombreuses réserves/contraintes :

          • You will have to disable access to HD versions of your photos
          • Please note that if you are using videoJS plugin, it requires direct access to video files as i.php proxy is not used.
          • Please note that by doing so we do not protect, restrict access to derivative itself when it is permission protected.

          Et en bas de la plage, j'ai relevé le dernier commentaire par yonjah qui a développé une méthode plus globale :
          https://ca.non.co.il/index.php/securing-private-piwigo-albums/
          https://github.com/yonjah/piwigo-privacy

          j'en ai parlé plus haut dans mes commentaires, je n'ai malheureusement pas réussi à faire marcher ce piwigo-privacy. Si j'ai le courage, j'essaierai de nouveau de faire marcher cette méthode, mais ce serait bien si c'était directement intégré à Piwigo.

          Après il faut relativiser ce problème. Si on connaît le chemin d'un fichier, c'est normalement qu'on y a eu accès de façon explicite (si on peut trouver l'url de vos fichiers en la devinant, il faut résoudre le problème en amont). Le problème est donc que la personne peut "partager" l'url avec qqun d'autre. Cette personne pourrait tout aussi bien copier votre photo sur Facebook ! C'est donc une question de confiance envers les personnes avec qui l'on partage ses contenus privés, et pour cela Piwigo ne peut pas faire grand chose.

          C'est plus un problème de sécurité que de vie privée (sécurité par obscurité de l'URL).
          Pour moi tous les accès, quels qu'il soient (URL direct, indirect, API, …) doivent transiter par le gestionnaire de permissions.
          Je ne sais pas comment marche NextCloud/OwnCloud, Salut à Toi, Seafile et autre concurrents. Mais j'ai l'impression que cela marche vite et bien et que ce problème d'URL d'accès direct à l'image n'existe pas.

          Enfin je suppose que vous avez déjà réfléchi longuement à ce soucis et que si vous ne l'avez pas déjà implémenté, c'est que vous avez vos raisons (c'est pas vraiment une fonctionnalité demandées par vos utilisateurs payant par exemple).
          Mais pour ma part j'ai trouvé un moyen de contournement, donc pour l'instant ça va.

          Merci pour votre réponse.

    • [^] # Re: Piwigo et Cialis

      Posté par  (site web personnel) . Évalué à 2.

      On ne s'en fout absolument pas. C'est même bien flippant. Cela dit jusqu'à preuve du contraire, rien ne montre que les attaquants aient utilisé une faille dans Piwigo. Je penche plutôt pour du virus sur Windows qui chope les identifiants FTP dans le fichier de configuration de Filezilla. Bizarrement, sur Piwigo.com (qui n'a pas d'accès FTP) aucun compte n'est affecté par ce genre de hack, sur des milliers de comptes…

      Si on s'en foutait, on n'aurait pas créé le plugin Check Files Integrity pour justement trouver des fichiers modifiés de façon non officielle.

      • [^] # Re: Piwigo et Cialis

        Posté par  . Évalué à 3.

        Le lien vers le ticket Github:
        https://github.com/Piwigo/Piwigo/issues/827

        En premier commentaire, c'est l'April:
        https://agir.april.org/issues/2861

        Quelque part je doute que l'April utilise Windows derrière, mais je peux me tromper…

        • [^] # Re: Piwigo et Cialis

          Posté par  (site web personnel) . Évalué à 2.

          Quelque part je doute que l'April utilise Windows derrière, mais je peux me tromper…

          Oui, je confirme : ce site (ainsi que les VM et les hyperviseurs de notre infra) n'a jamais vu ni de windows ni de ftp de près comme de loin.

          Adhérer à l'April, ça vous tente ?

        • [^] # Re: Piwigo et Cialis

          Posté par  (site web personnel) . Évalué à 1.

          Merci pour le lien vers l'April, je ne savais pas que c'était eux et leur ticket est plus complet que ce qu'ils ont écrit sur notre bugtracker.

          Le bilan reste le même : on ne sait pas d'où vient la modification des fichiers source de Piwigo. Rien ne prouve encore que cela vienne de l'exploitation d'une faille dans Piwigo (sinon on l'aurait corrigé depuis bien longtemps, croyez moi que ce ciblage de Piwigo me gonfle assez fort).

          Même si les gens de l'April sont sans doute balaises et ont fait ce qu'il fallait en terme de gestion des accès au serveur, il reste possible qu'ils soient victimes d'une intrusion. Et l'attaquant en profite pour aller discrètement modifier le piwigo avec son script de pharmacie.

          • [^] # Re: Piwigo et Cialis

            Posté par  . Évalué à 4.

            Je ne suis pas expert en sécurité mais à la vue des résultats:
            https://www.google.com/search?q=photographie+cialis

            Il semblerait effectivement que Piwigo ne soit pas le seul touché.
            Vu les sites touchés (Wordpress et compagnie), je penche de mon côté sur un problème dans les bibliothèques PHP qu'utilisent Piwigo.

            L'investigation devrait être intéressante, je vais suivre le bogue !

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.