Réserver le téléchargement de zip aux utilisateurs enregistrés #5
Description
Salut,
Comme discuté par e-mail, le téléchargement des archives zip permet à n'importe qui de mettre (potentiellement) un peu n'importe quoi sur ton serveur et peut représenter une faille de sécurité en ce sens.
Plus particulièrement, le téléchargement des fichiers sous forme de zip implique que c'est le serveur qui va télécharger le fichier distant et le servir au client. Le serveur joue donc un rôle de passerelle, ce qui peut poser quelques problèmes légaux (imaginons qu'un utilisateur télécharge toutes les images d'un site pédoporno avec tipiak, c'est toi et ton serveur qui sera repéré et non l'utilisateur en question, même si tu as normalement moyen de le prouver à travers les logs)... j'avoue ma méconaissance des lois sur ce type de problème :/
De même, les fichiers téléchargés peuvent être potentiellement lourds et cela peut donc vite alourdir ton serveur...
Bref, je propose une option permettant de restreindre l'accès au téléchargement des zips. Le plus simple est sûrement de réutiliser auto_restrict, en testant la présence du fichier auto_restrict.php dans le répertoire. S'il n'est pas présent, le comportement actuel est conservé. S'il est présent, on active la protection :
- Si l'utilisateur n'est pas connecté lorsqu'il valide le "formulaire" de téléchargement
=> affichage de la page de connexion
=> transmission des variables POST du formulaire par session - Si l'utilisateur est connecté, le comportement actuel est conservé
Il faut donc vérifier en plus des POST actuels les variables de session éventuelles dans le cas où l'utilisateur est connecté.
Qu'en dis-tu ?