Impedir que se vea cierto contenido

kies89 · #1 (**permalink**) 20/09/2012, 12:10

Hola forosdelweb :).

Mi duda es la siguiente: ¿cómo puedo hacer que un usuario no pueda ver una imagen de mi web? Es decir, si tengo las imágenes en /www/images, ¿cómo puedo hacer para que no todos (dependiendo de por ejemplo si están registrados, de si aparecen en X tabla de MySQL, etc.) vean esas imágenes simplemente ingresando la URL correcta de la imagen (ejemplo: https://www.web.com/images/pepe.png)?

Gracias de antemano.

skamasle · #2 (**permalink**) 20/09/2012, 12:33

Eso de si estan o no registrados es más un poco de programación, no veo por ningún lado como hacerlo en el servidor, deberías consultar en el área de programación.

Si usas wordpress, SMF, Vbulletin etc es posible, o sea que dependerá de tu sistemas o script que uses, ahí podrás definir algo tipo if is_guest no mostrar la imagen, if tiene_X_rango no mostrar la imagen etc etc.

A nivel de apache precisamente solo hay dos formas de hacer, poner contraseña a la carpeta o bloquear la ip en htaccess, más no podrás hacer.

kies89 · #3 (**permalink**) 20/09/2012, 15:52

Cita:

Iniciado por skamasle

Eso de si estan o no registrados es más un poco de programación, no veo por ningún lado como hacerlo en el servidor, deberías consultar en el área de programación.

Si usas wordpress, SMF, Vbulletin etc es posible, o sea que dependerá de tu sistemas o script que uses, ahí podrás definir algo tipo if is_guest no mostrar la imagen, if tiene_X_rango no mostrar la imagen etc etc.

A nivel de apache precisamente solo hay dos formas de hacer, poner contraseña a la carpeta o bloquear la ip en htaccess, más no podrás hacer.

Ya, pero esos sistemas web están programados para hacer eso... Y yo me puedo montar un foro Joomla (por ejemplo) en un servidor Apache, entonces habrá alguna forma seguro...
La cosa sería hacer que a cada URL de la web que accedas, se ejecute un script en PHP (por ejemplo) que compruebe si estás baneado o no (todo esto mediante htaccess), si lo estás te muestra un mensaje desde PHP, y sinó se muestra la página a la que has accedido...
La cuestión ahora es... ¿cómo? :S.

skamasle · #4 (**permalink**) 21/09/2012, 07:06

Pues me parece que no puedes hacer eso así, no tiene mucha relación con apache y htaccess, si no sería más bien con PHP y Mysql, al menos yo no sabría decirte como hacer que php compruebe el .htaccess para ver si un user esta baneado etc etc.

Así que te recomiendo que expongas tu duda en el foro de programación de PHP, ya yo en los años que llevo administrando servidores no he visto tal cosa, apache solo es un web server, puede restringir acceso si, puedes hacer una condición con rewrite algo así:

Baneas una IP en htaccess, si la IP esta baneada y va a acceder a un contenido le haces el rewrite para que muestre otra imagen, algo así sería.

Con php y mysql es más sencillo.

kies89 · #5 (**permalink**) 21/09/2012, 08:47

Cita:

Iniciado por skamasle

Pues me parece que no puedes hacer eso así, no tiene mucha relación con apache y htaccess, si no sería más bien con PHP y Mysql, al menos yo no sabría decirte como hacer que php compruebe el .htaccess para ver si un user esta baneado etc etc.

Así que te recomiendo que expongas tu duda en el foro de programación de PHP, ya yo en los años que llevo administrando servidores no he visto tal cosa, apache solo es un web server, puede restringir acceso si, puedes hacer una condición con rewrite algo así:

Baneas una IP en htaccess, si la IP esta baneada y va a acceder a un contenido le haces el rewrite para que muestre otra imagen, algo así sería.

Con php y mysql es más sencillo.

Buenas, primero que nada muchas gracias por contestar.

Sí... ¿Me puedes poner un ejemplo de htaccesss para los siguientes casos, por favor?

1. Que al entrar a la web se ejecute un .php SIEMPRE.
2. Que si estás baneado, rewrite localhost/baneado.html
3. Que si tu IP NO está en una lista que yo haya creado en el htaccess, rewrite localhost/no-permitido.html (la más interesante)

Muchas gracias.

De todas formas, tuenti usa Apache y no deja ver las imágenes de otros usuarios que no tengas agregado. O sea, que poderse, se puede...

emprear · #6 (**permalink**) 21/09/2012, 16:53

Cita:

Iniciado por kies89

Hola forosdelweb :).

Mi duda es la siguiente: ¿cómo puedo hacer que un usuario no pueda ver una imagen de mi web? Es decir, si tengo las imágenes en /www/images, ¿cómo puedo hacer para que no todos (dependiendo de por ejemplo si están registrados, de si aparecen en X tabla de MySQL, etc.) vean esas imágenes simplemente ingresando la URL correcta de la imagen (ejemplo: https://www.web.com/images/pepe.png)?

Gracias de antemano.

Una forma posible es contolar el referer desde .htaccess, y si este no corresponde a una página específica, inhabilitar la visualización. tené en cuenta que si se ingresa directamente la url en la barra de direcciones, la variable referer no existe.
El resto, por supuesto dependerá del sistema de login que implementes

Ejemplo, en tu carpeta de imagenes

# en la primera linea definis la url de la página autorizada

Código Apache:

Ver originalSetEnvIfNoCase Referer "^http://emprear.com/index.html" local_ref=1
<filesMatch "\.(jpg|gif|png)$">
Order Allow,Deny
Allow from env=local_ref
</filesMatch>

Saludos

kies89 · #7 (**permalink**) 22/09/2012, 06:50

Cita:

Iniciado por emprear

Una forma posible es contolar el referer desde .htaccess, y si este no corresponde a una página específica, inhabilitar la visualización. tené en cuenta que si se ingresa directamente la url en la barra de direcciones, la variable referer no existe.
El resto, por supuesto dependerá del sistema de login que implementes

Ejemplo, en tu carpeta de imagenes

# en la primera linea definis la url de la página autorizada

Código Apache:

Ver originalSetEnvIfNoCase Referer "^http://emprear.com/index.html" local_ref=1
<filesMatch "\.(jpg|gif|png)$">
Order Allow,Deny
Allow from env=local_ref
</filesMatch>

Saludos

En una palabra: P E R F E C T O

Ahora si yo adapto el código a mi web, está bien así?

Código Apache:

Ver originalSetEnvIfNoCase Referer "^https://www.miweb.com/visualizar-imagen.php" imagen=1
<filesMatch "\.(jpg|gif|png)$">
Order Allow,Deny
Allow from env=local_ref
</filesMatch>

imagen es la variable de mi página PHP, y el uno (1) ese? qué hace ahí?

Por otra parte, utilizaré (cuando me aclares las dudas jeje) eso para que otras webs no puedan ver mis imágenes, y aparte:

Código Apache:

Ver original<filesMatch "\.(gif|png)$">
deny from all
</filesMatch>

Y acceder a mis imágenes mediante PHP...
Pero cómo modificaría este último código para que:
No deje acceder a ninguna página (Y SOLO DESDE https://www.miweb.com/.........................? con ninguna extensión (exceptuando los .php y los .css?

Muchas gracias de antemano.

skamasle · #8 (**permalink**) 22/09/2012, 07:20

Ahora no entiendo bien lo que quieres hacer, una protección hotlink también ? -> http://www.webtaller.com/construccio...hotlinking.php

Por otro lado, arriba dices sobre tuenti, pero tuenti lo hace por PHP todo esto, en htaccess no puedes definir usuarios ni esas cosillas de una forma avanzada y segura así como lo hacen las redes sociales, todo es por php + mysql, si no como ya te han dicho antes el refer desaparece si se accede directamente al archivo, aunque, se puede hacer también que no se muestre nada si el reffer es nulo o sea cuando se accede directamente.

Si en tu web hay usuarios y demás y quieres que lo que tenga un usuario no lo pueda ver otro, tienes que hacerlo por PHP, en el área de programación te lo explicarán mejor.

Esto que dices:

Cita:

1. Que al entrar a la web se ejecute un .php SIEMPRE.
2. Que si estás baneado, rewrite localhost/baneado.html
3. Que si tu IP NO está en una lista que yo haya creado en el htaccess, rewrite localhost/no-permitido.html (la más interesante)

Tienes que hacerlo con php, python, java, algo por el estilo, para apache es un poco complicado, es un servidor web, manda el contenido, puedes hacer rewrites, si, pero si vas a tener miles de rewrites apache no funcionara tan rápido como se espera, ya es lento por usar htaccess y con muchos rewrites ira más lento aún.

emprear · #9 (**permalink**) 22/09/2012, 08:07

Coincido con @skamasle, tenés que definir bien que querés hacer. No sea cosa que termines bloqueandote a ti mismo

en mi ejemplo solo asignamos un valor a local_ref cuendo el referer es el definido, luego hacemos un allow solo para esa variable de entorno.

No es exactamente lo mismo que una protección para hotlink.
Si querés algo para eso,

Código Apache:

Ver originalRewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tudominio.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Saludos

kies89 · #10 (**permalink**) 23/09/2012, 07:34

Cita:

Iniciado por emprear

Coincido con @skamasle, tenés que definir bien que querés hacer. No sea cosa que termines bloqueandote a ti mismo

en mi ejemplo solo asignamos un valor a local_ref cuendo el referer es el definido, luego hacemos un allow solo para esa variable de entorno.

No es exactamente lo mismo que una protección para hotlink.
Si querés algo para eso,

Código Apache:

Ver originalRewriteEngine on
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?tudominio.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [NC,F,L]

Saludos

Gracias ;).
Por cierto, una duda:

Código Apache:

Ver originalSetEnvIfNoCase Referer "^https://www.miweb.com/visualizar-imagen.php" imagen=1
<filesMatch "\.(jpg|gif|png)$">
Order Allow,Deny
Allow from env=imagen
</filesMatch>

¿Está bien usado así?
Se usa así:
https://www.miweb.com/visualizar-imagen.php?imagen=principal.png
No entiendo muy bien qué hace ese 1... y si todo el código está bien adaptado o tiene algún fallo dímelo por favor :).
Y ese código dice que solo puedo poner en la variable imagen nomres terminados con .jpg|gif|png, ¿verdad?

Gracias de antemano.

emprear · #11 (**permalink**) 23/09/2012, 11:54

Son cosas diferentes.

nada tiene que ver el pasar imagen como parámetro x GET de un php con lo otro.

Código Apache:

Ver originalSetEnvIfNoCase Referer "^http://emprear.com/index.html" local_ref=1
<filesMatch "\.(jpg|gif|png)$">
Order Allow,Deny
Allow from env=local_ref
</filesMatch>

una traduccón en palabras de eso sería
En caso de que el refrerer sea cierta url, establecer una variable de entorno llamada local_ref con valor de 1 (el nombre de dicha variable, puede ser otro, imagen, por ejemplo, y el valor, también)

luego, para los archivos de extensiones gif,jpg,png, solo permitir el acceso (allow from), para cuando exista local_ref, que obviamente se crea solo si las imagenes son invocadas desde el referer correspondiente.

Imagina que alguien copia y pega en la barra de direcciones
http://emprear.com/logo.jpg, esto provocaria un acceso prohibido(error 403), ya que al no existir referer válido, local_ref no se crea

Saludos

kies89 · #12 (**permalink**) 23/09/2012, 16:19

Pero ese código permite ÚNICAMENTE el acceso a los archivos .(jpg|gif|png) desde esa página (http://emprear.com/index.html), o también podría ingresar a archivos .(jpg|gif|png) desde por ejemplo (http://emprear.com/listas.html)?

Por otra parte —y por último—, quiero que solo se puedan acceder a las páginas .php y solo mediante emprear.com/* (todos los archivos) (si mi web se llamara así), y SOLO a los archivos .(jpg|gif|png) mediante emprear.com/visualizar-imagen.php?imagen=nombre_imagen

¿Todo esto con htaccess cómo sería?

Muchísimas gracias.

emprear · #13 (**permalink**) 23/09/2012, 16:58

@kies89

Estás mezclando un poco las cosas, .htaccess hace lo que te indiqué, en cuanto a
visualizar-imagen.php?imagen=nombre_imagen, no se sabe a ciencia cierta que es lo que hace esa script.

Imagino que es algo como esto

http://foros.emprear.com/proteger_pdf/

usa loguin.php y sin_sesion.php
En el zip está el código necesario

Saludos

kies89 · #14 (**permalink**) 24/09/2012, 12:09

Efectivamente emprear, hace eso el archivo PHP.

Aquí mi código del htaccess:
[Lo que hace es que no se puede ver en la web (y solo si proviene de localhost se puede hacer) ningún ningún archivo gif|jpg|jpeg|png|bmp, con lo que me queda que todos los demás archivos (.php principalmente) son los únicos que pueden ejecutarse/mostrarse. Además, los archivos gif|jpg|jpeg|png|bmp solo los puedo mostrar desde http://localhost/visualizar-imagen.php?imagen=

Está todo correcto??]

Código Apache:

Ver original#Solo se pueden ver los archivos .(gif|jpg|jpeg|png|bmp) desde http://localhost/visualizar-imagen.php?imagen=archivo_ejemplo.extensión
SetEnvIfNoCase Referer "^http://localhost/visualizar-imagen.php" local_ref=1
<filesMatch "\.(gif|jpg|jpeg|png|bmp)$">
Order Allow,Deny
Allow from env=local_ref
</filesMatch>
 
<IfModule mod_rewrite.c>
Options +FollowSymLinks
RewriteEngine On
RewriteBase /
 
# Si... otra cosa. [B]¿Esto qué hace?[/B]
RewriteCond %{REQUEST_FILENAME} !-f
 
# Si el archivo no es un directorio
RewriteCond %{REQUEST_FILENAME} !-d
 
# "Redirigir" a paginaNo-existe.html si las extensiones de los archivos a los que se quiere acceder son gif|jpg|jpeg|png|bmp
RewriteRule . /paginaNo-existe.html [L]
 
# Si la consulta tiene extension .php
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /([^.]+)\.php\ HTTP
 
 
 
RewriteCond %{HTTP_REFERER} !^http://localhost$ [NC]
RewriteCond %{HTTP_REFERER} !^http://localhost/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://localhost$ [NC]
RewriteCond %{HTTP_REFERER} !^http://localhost/.*$ [NC]
RewriteRule .*\.(gif|jpg|jpeg|png|bmp)$ - [F,NC,L]
 
 
</IfModule>

emprear · #15 (**permalink**) 24/09/2012, 12:18

[QUOTE=kies89;4277796]Efectivamente emprear, hace eso.

hace que? lo que yo hago con los pdf?
En ese caso tendrías que adaptar mi script, cambiando el mime por el correcto para cada tipo de imagen. El secreto de la protección es que al usar readfile y ubicar las imágenes por fuera del documentRoot

Saludos

kies89 · #16 (**permalink**) 24/09/2012, 14:33

[QUOTE=emprear;4277803]

Cita:

Iniciado por kies89

Efectivamente emprear, hace eso.

hace que? lo que yo hago con los pdf?
En ese caso tendrías que adaptar mi script, cambiando el mime por el correcto para cada tipo de imagen. El secreto de la protección es que al usar readfile y ubicar las imágenes por fuera del documentRoot

Saludos

Sí, a lo del PDF.
Pero te estoy preguntando lo que pongo arriba sobre el htaccess...

¿Por fuera del DocumentRoot? Bueno, pero si lo voy a llamar igualmente con PHP a la imagen (por estar fuera del DocumentRoot), dará igual, no? Vamos, no le veo ninguna ventaja...