Claroline Support

[Fidel]

Bonjour

Lors de la selection d'un document qui est compris dans un cours, l'URL complète du document s'affiche dans la barre d'addresse du navigateur. Cela permet un libre telechargement du document par n'importe quel utilisateur même s'il n'est pas identifié. Serait-il possible de bloquer cet affichage ou au moins de verifier la provenance du visiteur pour s'assurer qu'il ne vient pas de n'importe où.

[Hugues]

Si vous êtes sur Apache, on peut ajouter une règle dans le fichier config d'Apache (<i>httpd.conf</i>) ou dans un fichier <i>.htacess</i>, selon laquelle on ne peut consulter un document que si le clic provient de <i>claroline/document/document.php</i>. De la sorte, on ne pourra consulter ce document que si on est a rentré dans l'outil 'document' de ce cours.

[Moosh]

APACHE solution, the best but requires apache.

sample for campus on http://www.mycampus.tld/
for course FOO

Code: Select all

AuthName "-- Foo documents protected --"
AuthType Basic
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/FOO/document/" local_ref
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/claroline/" local_ref
Order Allow,Deny
allow from env=local_ref
ServerSignature Off
ErrorDocument 403 http://www.mycampus.tld/
IndexOptions FancyIndexing


If you don't have apache, another solution is the awfull solution wich is to let document php load the doc and send it you by on-fly stream (a script php read the content and send the body as it's itself the document). Awfull but very secure with other web servers.

[Laëtitia88]

Thank u for your help but where I must put this .htacces file? Only in the FOO directory or at the root or other where?

Moreover, in your file, I must change the http://www.mycampus.tld/ adress by my one. But must I do change more?

Thank u,
Laetitia

[Moosh]

yes this sample is to put in each course repository.

http://www.mycampus.tld/ is too change ... and FOO :)

in lines
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/FOO/document/" local_ref
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/claroline/" local_ref

it's suppose that claroline is
http://www.mycampus.tld/claroline/admin
http://www.mycampus.tld/claroline/announcement
http://www.mycampus.tld/claroline/inc
...
http://www.mycampus.tld/claroline/work
...

and so course
http://www.mycampus.tld/COURSE1
http://www.mycampus.tld/COURSE2
http://www.mycampus.tld/COURSE3
....

if you add your campus in http://www.mycampus.tld/mycampus/

http://www.mycampus.tld/mycampus/COURSE1
http://www.mycampus.tld/mycampus/COURSE2
http://www.mycampus.tld/mycampus/COURSE3
...
and http://www.mycampus.tld/mycampus/claroline/...


theses line became
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/mycampus/FOO/document/" local_ref
SetEnvIfNoCase Referer "^http://www\.mycampus\.tld/mycampus/claroline/" local_ref

[jfc]

N'a plus cour sur la vresion actuelle. Voir plus bas :

Méthode réalisé :
(v 1.5) Creer un fichier nomé .htaccess
dans chaques dossier de catégories de cours
copier le code et adaptez les paramêtres suivants :
192.168.0.12 : adresse de mon serveur
cla : dossier de la base claroline

Code: Select all

AuthName "-- BUR documents protected --"
AuthType Basic
SetEnvIfNoCase Referer "^http://192.168.0.12/cla/" local_ref
Order Allow,Deny
allow from env=local_ref
ServerSignature Off
ErrorDocument 403 http://192.168.0.12/cla/
IndexOptions FancyIndexing

Parcontre ça bug avec les fichiers PDF et les AVI
Rien ne s'affiche (Message Le fichier ne commence pas par '%PDF' ou An error has occured while trying tu use this document) et si je fais Précédent j'ai le message suivant qui s'affiche :

Code: Select all

1146 : La table 'cl150rc1main.track_e_access' n'existe pas

INSERT INTO `track_e_access`
                (`access_user_id`,
                 `access_tool`,
                 `access_date`)

             VALUES

             ('2',
              'Documents',
              FROM_UNIXTIME(1087977850))

Vous avez une idée ?

[djart]

Sorry to say, but the proposed solution using the .htaccess method is not safe.

Anyone can do:
wget http://www.mycampus.tld/FOO/document/whatever.doc --referer=http://www.mycampus.tld/claroline/

or use whatever else downloader allows him to custom-define the referer.

And it's very easy to guess the correct referer (much easier than guessing the contents of FOO/document/, I'd say).

[jfc]

Il y a des nouveaux éléments ?
Quelques choses de plus détaillé quelque part ?

Merci et bravo pour les évolutions

Jean-françois

[Hugues]

Dans la dernière version de Claroline 1.7, vous pouvez activer le <i>secure mode</i> dans l'outil document et empêcher l'accès direct au répertoires des cours via un fichier <i>.htaccess</i>. Cette solution n'est fonctionelle que sur le serveur web Apache.

[jfc]

Complément de protection [résolus]

J'ai mis un fichier .htaccess dans
Chaque :
http://nomdusite/courses/XXX/document/

En Invisible pour les utilisateurs. (petit oeuil fermé)

Contenant le code suivant.

Code: Select all

deny from all
ErrorDocument 403 /index.php


Acces interdit a tous
et
renvois sur la page d'acceuil.

On modulera la partie :

Code: Select all

ErrorDocument 403 /index.php


en

Code: Select all

ErrorDocument 403 http://nomdusite/


Selon le serveur.


JFC

[geocampus]

The .htacess not really working, can you give us a methode to include some php code in our document in order to protect them ?

Best regards

[Stiven]

Bonjour à tous,

J'ai voulu appliquer la méthode de protection des documents expliquée pour Claroline 1.7, c'est-à-dire le secure-mode + un fichier .htaccess dans chaque dossier document de chacun des cours.

Problème : lorsque j'essaye d'ajouter le fichier .htaccess dans les documents et liens, Claroline me charge bien le fichier mais il le renomme en htaccess.txt. Impossible de le renommer en .htaccess. Même en ftp, impossible d'écrire quoi que ce soit dans le dossier document.

Quelqu'un peut-il m'aider ?

Merci beaucoup par avance.

[zefredz]

Bonjour,

C'est normal. Par mesure de sécurité, il est impossible de mettre un fichier .htaccess dans un répertoire via l'outil document de Claroline. En effet, les fichiers .htaccess peuvent être utilisés pour changer n'importe quel paramètre de configuration du serveur web utilisé ou de php.

Pour mettre un fichier .htaccess dans un répertoire de Claroline, il faut donc obligatoirement passer par un outil externe (FTP, SSH...).

Cordialement,

[Stiven]

Même en ftp, impossible d'écrire quoi que ce soit dans le dossier document.

[Fragile]

L'uilisateur avec lequel vous vous connectez en FTP n'a probablement pas les droits sur les fichiers et répertoires créés par le serveur web. Le répertoire "documents" est créé par celui-çi.

Cordialement,

Sébastien

[gourchan]

Bonjour,
J'ai utilisé ce code dans .htaccess et ca marche pas, les url commencent à apparaitre de tel facon que n'importe qui non authentifé pour entrer grace à ces url.
J'aimerais bien savoir le problème.
Mon système est PHP/APACHE/MySQL sur windows XP.