Subir fotos con seguridad a servidor

Washby · #1 (**permalink**) 10/12/2012, 04:05

Hola.
No estaba seguro dónde poner este tema porque aunque mi web está hecha en php es algo muy general.

Quiero permitir a los usuarios que suban fotos al servidor, son fotos asociadas a su código de usuario y quiero que sean privadas pero que puedan usarlas con su URL.

Había pensado poner como nombre del fichero algo tipo id_usuario + token aleatorio con md5.

De esta forma cuando un usuario vea que su foto tiene la url por ejemplo http://www.nombredominio/fotos/id_us...4.....asdf.jpg será muy difícil que acierte a una foto existente probando nombres aleatorios en ese directorio.

¿Es así como se suele hacer?

¿es posible que un hacker pueda acceder al directorio www.nombredominio/fotos y ver los nombres de las fotos?

Saludos!
Oscar.

cuasatar · #2 (**permalink**) 10/12/2012, 08:16

Cita:

¿es posible que un hacker pueda acceder al directorio www.nombredominio/fotos y ver los nombres de las fotos?

Si, claro que si puede acceder a ver tus fotos y no importa si te tomas la molestia de ponerles nombres aleatorios, un usuario podria ver facilmente los nombres. Ni siquiera es necesario que sea un hacker, cualquier usuario lo podria hacer solo colocando la url.

Para evitar eso es bueno tener una protección de acceso a carpetas con apache.

http://www.maestrosdelweb.com/editorial/directapache/

Igual como sugerencia podrias tener una carpeta de fotos y dentro de esa carpeta de fotos tener carpetas individuales para cada usuario.

Washby · #3 (**permalink**) 10/12/2012, 08:32

Cita:

Iniciado por cuasatar

Si, claro que si puede acceder a ver tus fotos y no importa si te tomas la molestia de ponerles nombres aleatorios, un usuario podria ver facilmente los nombres. Ni siquiera es necesario que sea un hacker, cualquier usuario lo podria hacer solo colocando la url.

Para evitar eso es bueno tener una protección de acceso a carpetas con apache.

http://www.maestrosdelweb.com/editorial/directapache/

Igual como sugerencia podrias tener una carpeta de fotos y dentro de esa carpeta de fotos tener carpetas individuales para cada usuario.

Ei muchas gracias cuasatar.

Decia eso de si un "hacker" podría acceder a un directorio y ver los ficheros existentes porque había probado en mi web a poner un directorio cualquiera y daba error de protección por lo que pensaba que sería algo no trivial.

Pero resulta que al leer el link que me has puesto he descubierto que ya tengo esa protección habilitada en mi htaccess.

(extraido de boilerplate creo)

Estoy muy verde en estos temas como se ve, me ha ido muy bien el artículo, gracias.

Saludos.

fishdesign · #4 (**permalink**) 10/12/2012, 08:46

Para no dar rutas directas de las imágenes, puedes pasarlas con PHP cambiando el content type.
De esta manera, puedes hacer antes la comprobación de si el usuario tiene privilegios sobre la imagen que quiere ver y de ser así, la muestras.

Sería algo así:

Código PHP:

Ver original<?php
header('Content-Type: image/png');
 
$privilegios = true;
 
if ($privilegios) {
    readfile('image.png');
}
 
?>

Washby · #5 (**permalink**) 10/12/2012, 09:22

Cita:

Iniciado por fishdesign

Para no dar rutas directas de las imágenes, puedes pasarlas con PHP cambiando el content type.
De esta manera, puedes hacer antes la comprobación de si el usuario tiene privilegios sobre la imagen que quiere ver y de ser así, la muestras.

Sería algo así:

Código PHP:

Ver original<?php
header('Content-Type: image/png');
 
$privilegios = true;
 
if ($privilegios) {
    readfile('image.png');
}
 
?>

Gracias pero para mi caso concreto sí que me interesa dar la ruta directa.

Creo que con la protección del directorio con htaccess y la foto con nombre aleatorio ya tendré seguridad suficiente. Bueno nunca se tiene seguridad suficiente pero creo que ya me llegará