Une recherche google qui peut vous coûter cher...

Brian — Mon, 26 Nov 2007 14:21:00 +0100

A tous les webmasters en herbe qui hébergent de la musique sur leur site perso: attention, votre site se transforme peut être en plateforme de téléchargement pas super légale...

Avant de mettre en ligne toute sa MP3thèque, il faut quand même réfléchir deux secondes pour se protéger un peu.

La preuve par la recherche google

En cherchant quelques éléments présents dans les pages servies par apache, et en éliminant toutes les "vraies" pages html, on trouve pas mal de choses sur google. Essayez d'utiliser cette recherche:
-inurl:(php|html|htm) intitle:"index of" +"parent directory" +"last modified" +description +size +(ogg|wma|mp3)

Se protéger simplement des moteurs de recherche

Pour vérifier si le mal n'est pas déjà fait, on peut ajouter une nouvelle options à notre première recherche, histoire de limiter les résultats au site voulu:
site:votresite.com

Quelques moyens simples pour éviter ce genre de bévues:

utiliser un fichier robots.txt pour signaler aux moteurs de recherche quelles parties de votre site ne doivent pas être référencées. Attention, les petits curieux pourront lire ce fichier.
ne pas diffuser sur le net les URLs de vos répertoires de musique
le plus sûr, mettre en place une authentification par mot de passe avec un fichier .htaccess

Tout ça n'est pas nouveau (et c'est pas Johnny qui nous dira le contraire), mais ces fameuses requêtes google ont encore de beaux jours devant elles.

Le cas spécial free.fr

Pour les sites perso free,fr, la technique est est un peu différente.
Tout d'abord, on crée un répertoire protégé "protected" (par exemple) qui contiendra le fichier des mots de passe.
On interdit l'accès à ce répertoire en y ajoutant un fichier .htaccess contenant:
deny from all

Ensuite, on crée un fichier de mots de passe, par exemple ''password.txt':'
votre-login:votre-mot-de-passe

Enfin, on ajoute à notre répertoire à protéger un autre .htaccess:
PerlSetVar AuthFile protected/password.txt AuthName "Acces Restreint" AuthType Basic require valid-user

Au final, on aura bien:
/protected/.htaccess /protected/password.txt /musique/.htaccess /musique/fichierprotégé.mp3

Vengeance! Comment j'ai trouvé et puni les voleurs de bande passante

Brian — Tue, 21 Aug 2007 11:14:00 +0200

Quand on est webmaster, on aime bien jeter un coup d'oeil au logs du serveur apache, histoire de faire quelques statistiques maison.
Et souvent, on est pas très content de voir des gens faire des hotlinks vers notre site - c'est à dire des liens directs vers des images hébergées sur notre site, sans aucune autorisation. Même pas un lien vers le site, rien!

Du coup, il faut prendre les mesures qui s'imposent, gnark gnark...

Trouver les coupables

Pour trouver les pleutres qui osent pomper votre bande passante sans autorisation, il suffit de se positionner dans le répertoire des logs apache, et de lancer la commande magique:

awk '{print $7 " | " $12}' access.* | grep -ivE '(rollsrox.com|google|feedburner|netvibes|paperblog)' | grep -iE '(.jpg|.png)' | grep -v "\"-\"" | sort | uniq -c

On prend les champs n°7 et n°12 d'une ligne de log, on élimine les domaines qui ont le droit de prendre des images chez nous, pour ensuite éliminer les Referer vides et tout trier et compter les occurences. On alors des lignes du genre:

10 /blog/image.jpg | http://www.sitequelconque.com/page.html
5 /blog/autreimage.png | http://www.unautresite.com/forum.php?post=12

A partir de là, on retrouve facilement les pages qui utilisent des images hébergées chez nous. Il est maintenant temps de sévir.

La manière douce, on communique

La manière douce prend du temps et n'est pas super efficace. Il faut envoyer des mails, s'inscrire sur les forums en question, et passer pour le moralisateur de service.
Remarque, les bloggeurs de myspace et les kiddies des forums ne sont pas toujours très réceptifs; il faut tenter une autre approche.

Plus radical, on bloque!

On peut bloquer les affichages d'images depuis certains domaines bien choisis; c'est simple, il suffit d'ajouter une RewriteRule dans le fichier .htaccess sur le serveur:

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(domaine1.fr|blogpourri.blogspot.com|autreblogpourri.myspace.com).*$ [NC]
ReWriteRule .*\.(gif|png|jpg|jpeg|swf)$ - [F]

Les sites en question ne pourront plus afficher les images de notre site.

Plus fun, bien plus fun

On peut éduquer les affreux par l'exemple, en utilisant toujours une RewriteRule; cette fois-ci, au lieu de bloquer les requêtes sur des images depuis les domaines contrevenants, on peut rediriger ces requêtes vers une autre image...
Par exemple, une image qui affiche un message pour notre voleur de bande passante, ou une blague de mauvais goût

RewriteEngine On
RewriteCond %{HTTP_REFERER} ^.*(domaine1.fr|blogpourri.blogspot.com|autreblogpourri.myspace.com).*$ [NC]
RewriteRule .*\.(gif|jpg|jpeg|png)$ http://www.rollsrox.com/superimage.jpg [NC]

A suivre

Je ne vais pas faire de la pub pour ces gens mal élevés, donc je ne poste pas les URLs coupables, par contre pour le fun je peux vous envoyer par mail les liens en question (pour ça, laissez un petit commentaire je vous ferai suivre).
A suivre, on verra si les affreux vont réagir...

RollsRox - Balise - webmaster