Toon posts:

[html/php] Image buiten domein blokkeren

Pagina: 1
Acties:

Onderwerpen

Php

zaterdag 15 februari 2003 22:03

Acties:
  • commeric
  • Registratie: November 2002
  • Laatst online: 14-08 22:32

commeric

Topicstarter
Ik weet niet goed hoe ik de titel moet noemen, maar dit leek me wel aardig.
Je komt bijv wel eens op sites en als je dan een plaatje ziet staat. http://foo.com/blaat.jpg en je wilt die dan op een forum posten
code:
1

[img]http://foo.com/blaat.jpg[/img]

Dan krijg je een plaatje te zien met "This image is only avaible on www.foo.com".
Of iets in die strekking.
Maar hoe krijg je dat voor elkaar. Dat je alleen maar images binnen je eigen domein kan laten zien, en dat andere sites er niet naar kunnen linken.

Ik neem aan dat dit al eerder is gevraagt, maar na wat zoeken kwam ik er niet uit.

zaterdag 15 februari 2003 22:06

Acties:
  • Tjark
  • Registratie: Juni 2000
  • Laatst online: 11:35

Tjark

DON'T PANIC

Met Apache webserver en .htaccess bestand. lees bv dit maar http://www.thudfactor.com/writing.php?show=18 en
http://idefix.net/~koos/irregular.php/irregular-20020726

[ Voor 23% gewijzigd door Tjark op 15-02-2003 22:12 . Reden: nog een linkje ]

*insert signature here

zondag 16 februari 2003 13:05

Acties:
  • djluc
  • Registratie: Oktober 2002
  • Laatst online: 01:06

djluc

Je kunt ook een beveiligde map maken met alle plaatjes en dan plaatjes aanroepen via een php bestand, dan kun je meteen achterhalen hoe vaak een bepaald plaatje opgevraagd wordt.

zondag 16 februari 2003 13:27

Acties:

Verwijderd

Een iets minder veilige manier, maar toch ook zeer bruikbaar is het door middel van PHP te doen. Alleen weet ik niet of je perse een URL wilt als 'http://www.domein.nl/plaatje.jpg'...

Je maakt een PHP bestand aan wat je aanroept met: image.php?file=123, en in dat PHP bestand doe je dan een check voor referer en mits goed show je het plaatje met het betreffende ID of zo niet een deeplink.jpg image.

Zo kan de bezoeker niet zien waar het plaatje staat of heet en je hoeft geen gebruik te maken van mod_rewrite.

Slechts een alternatief dus :)

zondag 16 februari 2003 13:35

Acties:
  • Boomerang
  • Registratie: November 2000
  • Niet online

Boomerang

Verwijderd schreef op 16 February 2003 @ 13:27:
Een iets minder veilige manier, maar toch ook zeer bruikbaar is het door middel van PHP te doen. Alleen weet ik niet of je perse een URL wilt als 'http://www.domein.nl/plaatje.jpg'...

Je maakt een PHP bestand aan wat je aanroept met: image.php?file=123, en in dat PHP bestand doe je dan een check voor referer en mits goed show je het plaatje met het betreffende ID of zo niet een deeplink.jpg image.

Zo kan de bezoeker niet zien waar het plaatje staat of heet en je hoeft geen gebruik te maken van mod_rewrite.

Slechts een alternatief dus :)
Probleem is alleen dat die headers nogal makkelijk te faken zijn. Sommige browsers geven zelfs geen refer mee, hoe wil je dat dan aanpakken ?

zondag 16 februari 2003 13:41

Acties:
  • Cipri
  • Registratie: Januari 2001
  • Laatst online: 29-07-2024

Cipri

Of niet natuurlijk...

Oh? Ik kan geen een browser bedenken die geen Referer: header meestuurt.
Alle browsers doen dat, dat staat namelijk in de HTTP standaards. Zoniet, dan moet je als server aannemen dat er geen referer is. :)

-=[ Murlocs Ate My Boots]=- Sylvanas Alliance - EU - Orosei lvl 100 Paladin

zondag 16 februari 2003 13:47

Acties:
  • Boomerang
  • Registratie: November 2000
  • Niet online

Boomerang

Cipri schreef op 16 February 2003 @ 13:41:
Oh? Ik kan geen een browser bedenken die geen Referer: header meestuurt.
Alle browsers doen dat, dat staat namelijk in de HTTP standaards. Zoniet, dan moet je als server aannemen dat er geen referer is. :)
Niet standaart nee, maar bij browsers als opera, mozilla, netscape is refering makkelijk uit te zetten ivm privacy. Dan zouden die gebruikers geen toegang krijgen tot het plaatje ? Een echte waterdichte oplossing is er dus niet..
Opera too, at least from version 3.62 onwards (rather simply, in the
Advanced sheet under Preferences). This is what Opera's help says about
this setting:
"Referrer logging
Do you want Opera to send information refering to the page from where
the document or picture was requested? If you enable this option, web
servers can store information about the site that you last visited
before you jumped to the current one. This allows webmasters to analyse
how people find their way to his website. DISABLE this option if you
don't want to reveal this information."

That's an interesting formulation, making it basically a privacy issue -
as it is, in part.
bron

zondag 16 februari 2003 13:52

Acties:

Verwijderd

Ik quoteer mijzelf: "Een iets minder veilige manier, ..."

Ofwel, het kan idd dat men dus de referer manipuleert. Maar wat heeft die "webmaster" er nu aan die dat ene plaatje van je website leeched? Moet hij er soms een tekst bij plaatsen als: "Als je Opera of Mozilla gebruikt; zet dan de referer uit om de website zo goed mogelijk te kunnen bekijken!" (slechts als voorbeeld)

Ofwel, de boodschap komt dan ook wel aan dmv een PHP scriptje, lijkt mij. Al blijft het dmv mod_rewrite natuurlijk veiliger.

Ik heb btw even zitten klooien met de 2e link van TjarkVerhoeven en het werkt aardig, alleen zijn er met een aantal dingen geen rekening gehouden. Zo wordt er dmv een RewriteBase de dir vast gesteld van alle images. En zo dus ook van het plaatje voor "de boodschap": deeplink.gif.

Dus zul je het aanpassen als:

code:
1
2
3
4
5
6

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://domein.nl/IMG_DIR/.*$ [NC]
RewriteCond %{HTTP_REFERER} !^http://www.domein.nl/IMG_DIR/.*$ [NC]
RewriteRule .*\.(jpg|gif)$ deeplink.gif [T=image/gif,L]


IMG_IDR is natuurlijk de map waar de images staan.

Hierbij staat deeplink.gif op de betreffende URL: http://www.domein.nl/deeplink.gif, want anders wordt er nog geen plaatje geladen omdat in de code op die website een plaatje wordt gebruikt uit de directory die beveiligd is, en dat lukt natuurlijk niet ;)

Het beste kun je als deeplink.gif een klein plaatje nemen als; http://www.phpdesk.nl/deeplink.gif of dit gewoon leeglaten in de vorm van:

code:
1

RewriteRule .*\.(jpg|gif)$ [T=image/gif,L]


Waardoor er helemaal niets geladen wordt, en wat misschien ook wel de beste manier is.

[ Voor 55% gewijzigd door Verwijderd op 16-02-2003 14:00 . Reden: Extra... ]

zondag 16 februari 2003 14:15

Acties:

Verwijderd

De oplossing van Markuz is de beste imo. Je kan ook een watermerk over de foto plaatsen als er geen of de verkeerde Referer wordt meegegeven. Verder kan je ook met ImageJPEG() als derde parameter (=quality) een heel laag getal meegeven, waardoor mensen toch naar jouw site moeten om de afbeelding op hoge kwaliteit te zien.

dinsdag 18 februari 2003 16:20

Acties:
  • commeric
  • Registratie: November 2002
  • Laatst online: 14-08 22:32

commeric

Topicstarter
het werkt perfect.
Bedankt allemaal! :D

dinsdag 18 februari 2003 16:39

Acties:

Verwijderd

Alle HTTP headers zijn easy te faken dus daar hoef je eigenlijk al geen rekening mee te houden.

maandag 24 februari 2003 23:09

Acties:
  • commeric
  • Registratie: November 2002
  • Laatst online: 14-08 22:32

commeric

Topicstarter
Verwijderd schreef op 18 februari 2003 @ 16:39:
Alle HTTP headers zijn easy te faken dus daar hoef je eigenlijk al geen rekening mee te houden.
betekend dat ook dat je als iemand een link zet op een forum met een plaatje die door een htaccess beschermd zou moeten zjn. dat het dan zo te faken is dat het plaatje wel zichtbaar is?
Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq