Répertoire images widget et sécurité

Xav-74 · Août 1, 2022, 4:53

Hello à tous,

Me voici de retour avec une nouvelle question sécurité, décidément

Mon plugin myBMW possède de base des images / icônes destinées à mon widget qui sont posées dans le répertoire /core/img.
Lorsqu’un utilisateur ajoute un nouvel équipement / véhicule, je vais récupérer une image de celui-ci sur les serveurs BMW et l’enregistre dans le répertoire /data. Puisque non native dans mon plugin. Et susceptible de changer (très rarement).

J’ai un retour d’un utilisateur pour qui cette dernière image apparait qq secondes puis disparait.
Dans le log http_error, on retrouve la ligne suivante :

[Sun Jul 31 14:35:13.207867 2022] [access_compat:error] [pid 22643] [client 192.168.1.220:57167] AH01797: client denied by server configuration: /var/www/html/plugins/myBMW/data/31, referer: http://192.168.1.44/index.php?v=d&p=dashboard

En regardant sur le community, j’ai vu qu’il s’agissait du fail2ban qui bloque l’accès. Même pour des requêtes internes ?
Je n’arrive pas à reproduire chez moi. Et lui me dit ne pas avoir touché à quoi que ce soit sur son image Jeedom.
Du côté des icônes présentes dans /core/img, aucun souci.

Dois-je donc en déduire qu’il vaut mieux enregistrer la photo du véhicule dans ce dernier répertoire ?
Merci d’avance pour vos retours avisés

Xav

mguyard · Août 1, 2022, 5:03

Hello Xav,

Sur le plugin Mercedes je DL aussi l’image et je la met dans data/images et j’ai pas de soucis

Je vois aussi dans le log que tu n’as pas d’extension sur le fichier. Ça vient peut être de là. Le htaccess match pas

Xav-74 · Août 1, 2022, 5:46

Merci Marc pour ton aide.
En fait l’image est sous la forme « VIN ».png
Ici le 31 ne correspond à rien dans le répertoire de l’utilisateur !

jpty · Août 1, 2022, 6:00

Essayez de les mettre dans un sous répertoire de data.
La règle est:

RedirectMatch 403 (?i)^.*\/data\/.*\/((?!\.m3u8|\.ts|\.jpg|\.jpeg|\.gif|\.webp|\.png|\.mp3|\.aac).)*$

\/.*\/ après data est un sous-répertoire.

Le plugin meteofrance met ses icônes svg téléchargées dans son data/icones

Ma demande d’ajout des svg dans la règle:
https://community.jeedom.com/t/securite-changement-de-politique-sur-lacces-aux-fichiers/68444/59?u=jpty

Salvialf · Août 1, 2022, 6:15

Salut,

Le répertoire /data est-il existant sur ton repo avec juste un fichier .htaccess dedans dans cette idée ?

github.com

jeedom/core/blob/alpha/data/img/.htaccess

Order allow,deny
<Files ~ "\.(jpg|jpeg|png|gif|JPG|JPEG|PNG|GIF)$">
allow from all
</Files>
Deny from all

Xav-74 · Août 1, 2022, 7:00

Hello,

Alors oui le répertoire existe bien dans mon repo mais sans le fichier .htaccess
Je le rajoute et je vous tiens au courant

Merci à tous

jpty · Août 1, 2022, 7:20

Pas de .htaccess dans data/icones du plugin meteofrance et ça fonctionne avec la règle générale citée dans mon post juste au dessus.