HTTP Referer

[Antoine.B]

Bonjour,

Une question qui me trotte dans la tete depuis un moment.

Pourquoi utilises-t-on la variable serveur HTTP_REFERER pour par exemple bloquer l'affichage d'une image depuis un autre serveur que le sien, alors que cette variable n'est pas fiable a 100% ?

Je veut dire par la qu'il est tout a fait possible pour un visiteur de ne pas renvoyer cette variable avec par exemple la developper toolbar de Firefox.

La variable HTT_REFERER renverrais-t-elle l'adresse IP du serveur qui appel l'image plutot que l'Ip du client visitant la page qui affiche l'image ?

[Bool]

Hello,

oui cette variable n'est absolument pas fiable... mais beaucoup de gens ne prêtent pas attention à ce genre de chose.

Tout comme les développeurs qui pensent que l'adresse IP correspond à une seule personne, et qu'une personne n'aura qu'une IP durant sa session. Quoi que au moins pour ce qui est du REFERER il doit être exact dans 95% des cas, ce qui n'est pas du tout le cas pour l'IP, et pourtant beaucoup se basent dessus.

[jeanluc]

Pourquoi utilises-t-on la variable serveur HTTP_REFERER pour par exemple bloquer l'affichage d'une image depuis un autre serveur que le sien, alors que cette variable n'est pas fiable a 100% ?

Il n'est pas nécessaire que HTTP_REFERER soit fiable à 100 % pour que cette méthode soit efficace.

Supposons que HTTP_REFERER soit correct pour 80 % des visiteurs. Cela veut dire qu'il est possible d'afficher un message disant "Image volée" à 80 % des visiteurs. C'est largement suffisant pour dissuader un site hotlinkant des images pour qu'il abandonne cette technique !

Jean-Luc

[Bool]

Le soucis ce sont les 20% d'utilisateurs légitimes qui sont accusés de vol alors que c'est simplement "Norton Internet Security" qui remplace le referer par autre chose.

[jeanluc]

Ce n'est pas ainsi que ça fonctionne. La méthode dont parlait Antoine.B consiste à accepter les referrers du même domaine et les referrers cachés. Les referrers refusés sont seulement ceux des autres domaines.

Jean-Luc

[Bool]

Justement, j'ai déjà vu des "Firewalls" ou autre jouets du genre qui ne se contentent pas de supprimer l'entête Referer mais le remplacent par un "Blocked by nom_du_soft".

Ayant moi même géré un site de fond d'écran pendant longtemps j'ai utilisé cette technique, mais il reste toujours un pourcentage d'utilisateurs légitime qui sont expulsés par ce genre de méthodes.

Et à moins de blacklister un/des domaine(s) en particulier, il y aura toujours des "faux positifs".

[YoyoS]

Le mieux est d'utiliser le blocage des images par htaccess. Beaucoup plus fiable pour empêcher le hotlinking des images d'un site de fond d'écran par exemple.

HTTP_REFERER renvoie seulement l'adresse de provenance, mais elle est facilement modifiable, et certains ne l'ont pas forcément activé.

[webmasterlamogere]

de toute façon il est toujours possible de copier l'image donc le blocage par referer n'est pas bonne.

[YoyoS]

webmasterlamogere, On préfère une copie plutôt qu'un affichage externe + utilisation de bande passante, t'es pas d'accord ? Ce qui n'empêche pas de le poursuivre par la suite quand même hein

[webmasterlamogere]

l'idéal c'est sûrement de détecter le voleur sans qu'il le sache ou de mettre un logo en filigrane.

[Antoine.B]

Merci pour toutes ces reponses.

Le mieux est d'utiliser le blocage des images par htaccess. Beaucoup plus fiable pour empêcher le hotlinking des images d'un site de fond d'écran par exemple.

Pourquoi ce serait plus fiable ? en htaccess aussi on utilise HTTP_REFERER ..

[jeanluc]

Exactement. C'est la même chose.

Le but de cette méthode est seulement d'éviter le pompage de bande passante. Il n'est pas d'empêcher les copies illégales d'images. Pour cela, il y a d'autres techniques et aussi des avocats.

Jean-Luc

[Antoine.B]

Existerait-il une autre variable pouvant indiquer par exemple l'IP du serveur sur laquel l'image s'affiche ?

pour faire par exemple :

Code: Tout sélectionner


if($_SERVER['MA_VARIABLE']!=$mon_ip_serveur){

// exit, ou inclusion d'un filigrane, etc .

}

header ("Content-type: image/jpeg");

$image = imagecreatetruecolor(200, 200);

///traitement sur l'image

imagejpeg($image);



[e-kiwi]

si tu cherche une solution fiable à 100%, tu ne la trouvera pas, mis à part les avocats comme dit Jean Luc

[Antoine.B]

OK merci pour toutes ces reponses.