go ahead !
par contre pas eu de reponse sur mes questions / remarques un peu plus haut :
Voila modification faire.
Pour les questions, oui on precisera dans la documentation du plugin template que c’est strict et c’est très bien comme ca.
Pour la partie core la regle est simple : aucun accès au fichier du core par les clef api des plugins, et si l’utilisateur n’est pas admin accès a rien non plus
je pensais à minima à /var/www/html/data/img …?
je suis en phase, puisque c’est comme ca que je l’ai fait 
MAIS … ça posera quand même des soucis pour certain plugins … par exemple pour plugin-camera !
Pour le plugin camera je trouverais une solution pas de soucis
Et non aucun accès au fichier du core en donwload pour le moment si besoin a je rajouterais mais pour moi pas besoin
Les users non-admin doivent quand même pouvoir accéder par exemple aux images des widgets qui se trouvent dans /data/img on est d’accord? mais ca ils peuvent y aller en directe sans être authentifié?
C’est que pour le téléchargement la, c’est vraiment recuperer un truc sur son pc et non l’afficher dans le navigateur.
Je ne comprend pas.
Il n’y a pas de différence entre un appel http pour télécharger un fichier ou un appel http pour l’afficher dans le navigateur.
Ben si justement… Il y a un php specifique dans jeedom pour faire le dl de fichier il permet :
- de pouvoir dl un truc avec une clef api sans etre connecté
- de dl des trucs depuis un folder non accessible en http
- de dl en masse des fichiers
Oui merci, ca j’avais suivi quand même 
mais cela n’empêche pas que l’appel http vers downloadfile peut très bien être utilisé dans un navigateur pour afficher un fichier, ca va fonctionner; techniquement c’est pareil.
Je recommanderais même de faire cela pour afficher des images « sensibles » (genre capture de caméra); mais la question n’était pas là.
Donc ma question était: Si je reformule ce que tu as dis ici pour être sur de bien comprendre:
Donc concernant le core,
- soit un fichier est accessible publiquement (sans aucune authentification, ni api ni admin ni … rien) et donc dans ce cas on y accède directement;
- soit il n’est pas accessible du tout (et downloadfile ne permettra pas de le télécharger bien entendu).
Donc, par exemple, le dossier /data/img/ (du core) reste en accès public?
Oui c’est c’est tu peux aller chercher des images dans data/img en accès public tout a fait.
1 « J'aime »
Bonjour
pour ma part je suis pas a l’aise du tout avec ce systeme de droit
par example
j’utilise l’url suivante pour récupérer dans mon HTML une image
http://192.168.86.28/plugins/potager/ressources/img/arbuste.png
sauf qu’avec la Beta j’ai un 403
pourtant je suis bien dans un dossier img et c’est bien un png
j’ai du pas comprendre un truc
pourriez vous m’aider svp ?
autre point,
j’ai un fichier json qui contient de la data, je dois le mettre où ?
avant je faisais ca , mais ca marche pas no plus
<?php echo ''?>j’ai tenté via le download file
j’ai un refus
excusez mon ignorance concernant le htacces cdt
Bonjour
Pour l’image il faut être dans le dossier potager/core/IMG pour toi
Pour le json il faudrait détailler plus.
1 « J'aime »
Je ne suis pas sûr d’avoir tout bien compris, mais n’y a-t-il pas une erreur dans les lignes 58 à 70 du fichier https://github.com/jeedom/core/blob/alpha/.htaccess#L58 ?
Pour la ligne 60 par exemple:
il me semble que
RedirectMatch 403 (?i)^.*\/core/class\/.*$
devait être
RedirectMatch 403 (?i)^.*\/core\/class\/.*$
Je sais pas la j’ai testé la regle marche bien comme attendu donc je dirais pas necessaire mais je suis loin de maitriser les htaccess je decouvre.
si /data est dans la liste blanche, qu’en est-il des sous-dossiers en V4.2 ?
Merci
Ca n est pas récursif. Donc il n en est rien pour les sous dossiers, comme indiqué un peu plus haut
OK à savoir.
Merci
J’ai fini par renommer mon dossier ressources en data et tout semble ok
Merci
Bonjour Loic,
Est-il possible d’ajouter les images .svg dans le htaccess pour le répertoire data ?
RedirectMatch 403 (?i)^.*\/data\/.*\/((?!\.m3u8|\.ts|\.jpg|\.jpeg|\.gif|\.webp|\.png|\.mp3|\.aac).)*$
Ce sont des images téléchargées chez meteofrance puis utilisées par le plugin meteofrance au fur et à mesure de l’évolution de la météo.
Je les ai mises dans data afin qu’elles ne soient pas supprimées à la mise à jour du plugin car plus de 7 jours.
Sinon où dois-je mettre ces images?
1 « J'aime »
Salut,
C’est fait en beta ca sera dans la prochaine stable
1 « J'aime »