Websikkerhed mht. beskyttelse af billeder

Hej Aminoer !

Jeg har tænkt mig at gå i gang med et fotografsite. Det er meningen at kundernes billeder skal uploades til mit webhotel, hvor brugeren kan gå ind og bestille sine billeder.

Mit problem er at jeg ikke ved hvordan jeg skal beskytte disse billeder for at uvedkommende kan gå ind og se brugernes billeder, eksempelvis ved at skrive den direkte sti til billedet i browseren.

Det er meget vigtigt at billederne er i "total" sikkerhed, da det er billederne i fuld opløsning der kommer til at ligge online. Disse billeder skal jo sælges og ikke bare kunne "stjæles".

Jeg ved ikke hvordan det kunne gøres, om det blot er en .htaccess fil der skal lægges i mappen, eller om der skal noget mere seriøst til. Hvis der er nogen der ved noget om det, ville jeg sætte pris på at få et prisoverslag på hvor meget det koster at få lavet, og hvad det er der skal laves.

// Mathias Bak

Mathias Bak:

Det er meningen at kundernes billeder skal uploades til mit webhotel, hvor brugeren kan gå ind og bestille sine billeder.

Her kan man evt. se billedet i lille format og med lightbox vise billedet i størrer format. Du kan også sørge for at der kommer et vandmærke hen over billedet. Du kan evt. kigge på maps.google.com og kigge godt på deres kort. Så kan du se vandmærket.

Mathias Bak:

Mit problem er at jeg ikke ved hvordan jeg skal beskytte disse billeder for at uvedkommende kan gå ind og se brugernes billeder, eksempelvis ved at skrive den direkte sti til billedet i browseren.

Du skal sørge for at have et system der selv skal hente billedet og vise det til brugeren. Lige præcis den del har jeg lavet i mit nye CMS (som endnu ikke er åbent) hvor alle bruger samme kode, men jeg ud fra url og navn på billedet henter det rigtige billede. Her skal du så sørge for at hente billedet med vandmærke hvis det bare skal vises. Så det store billede ligger godt gemt UDENFOR webscope.

Mathias Bak:

Det er meget vigtigt at billederne er i "total" sikkerhed, da det er billederne i fuld opløsning der kommer til at ligge online. Disse billeder skal jo sælges og ikke bare kunne "stjæles".

Når man så har købt adgangen til billederne så kan man evt. logge sig ind og se de billeder man har købt i stor størrelse. Her skal du også sørge for at det er koden der henter billedet frem således at du kan kontrollere på at man ER logget ind og at man HAR købt billedet.

Mathias Bak:

Jeg ved ikke hvordan det kunne gøres, om det blot er en .htaccess fil der skal lægges i mappen, eller om der skal noget mere seriøst til

Du har ikke behov for .htaccess filen da der her skal laves kode til at finde billedet der skal vises.

Tak for svaret Niels !

Jeg ved godt hvordan jeg skal hente billederne så deres direkte url stadig er gemt. Jeg kan også godt vandmærke dem og alt det.

Hvis vi nu siger at jeg har en mappe der hedder "kundebilleder" og brugeren indtaster "www.mitdomæne.dk/kundebilleder" vil han få listet alle filer og mapper i denne directory. Så kan han jo bare browse frit mellem alle billeder på serveren. Det er det jeg gerne vil undgå.

Derudover vil jeg også gerne vide om man kan tilgå billederne på andre måder end denne. Disse metoder skal selvfølgelig også blokeres.

// Mathias

Med S3 som jeg linkede til tidligere kan du lave midlertidig adgang til hvert billed så det fx kun kan loades de næste 10 sekunder via en bestemt api nøgle osv. På den måde kan du sikre at det kun er den bruger der er logget ind der kan se det bestemte billed...

Niklas:

Med S3 som jeg linkede til tidligere kan du lave midlertidig adgang til hvert billed så det fx kun kan loades de næste 10 sekunder via en bestemt api nøgle osv. På den måde kan du sikre at det kun er den bruger der er logget ind der kan se det bestemte billed...

Hej Niklas !

Tak for dit svar ! Jeg kan dog bare ikke bruge S3 da det bliver for dyrt i længden. Hvis jeg får lavet mit eget security-setup en gang for alle, kommer det aldrig til at koste mig en krone mere. Jeg tror derudover at det er meget muligt at man kan gøre det uden for meget besvær.

Sorry jeg havde læst forkert på deres priser med en faktor 1000 Ikke så godt.

Jeg vil dog stadig helst, hvis det er muligt, have tingene liggende på min egen server. Nu er det heller ikke fordi det er så forfærdeligt mange GB til at starte med, så det er ikke pladsproblemer. Det er kun sikkerheden der skal være i orden for at folk ikke kan stjæle mit arbejde.

Det er skam ikke noget problem at lave sådan et system, så billederne ikke ligger i den mappe som hjemmesiden ligger i, og på den måde undgå at folk bare kan linke direkte til billederne.

laver du så systemet i PHP så kan du f.eks lave en fil som hedder image.php og så med et parameter vælge hvilket billed der skal vises. du kan så i image.php tjekke om brugeren er logget ind og og brugeren har købt adgang til det billed han ønsker vist.

Men som du sige så er S3 dyrt. men tro ikke at du kan finde en som kan kode dette system billigt, og skal du selv lave det så skal du være rimelig skrap til PHP/ASP/.NET.