Utiliser mod_rewrite pour le contr�le d'acc�s

Cette technique vous permet d'interdire � d'autres sites d'inclure directement vos images dans leurs pages. On fait souvent r�f�rence � cette pratique sous le nom de r�f�rencement � chaud (Hotlinking) qui entra�ne l'utilisation de votre bande passante pour servir des contenus faisant partie du site de quelqu'un d'autre.

Cette technique repose sur la valeur de la variable optionnelle HTTP_REFERER. Certaines personnes pourront donc contourner cette limitation. Pour la plupart des utilisateurs cependant, la requ�te �chouera, en ce sens que l'image ne sera pas affich�e depuis le site tiers.

Il y a plusieurs mani�res de g�rer cette situation.

Dans le premier exemple, nous rejetons tout simplement la requ�te si elle ne provenait pas d'une page appartenant � notre site. Pour les besoins de cet exemple, nous supposons que le nom de votre site est www.example.com.

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !www.example.com [NC]
RewriteRule \.(gif|jpg|png)$    -   [F,NC]

Dans le second exemple, plut�t que de rejeter la requ�te, nous affichons une autre image � la place.

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !www.example.com [NC]
RewriteRule \.(gif|jpg|png)$    /images/go-away.png   [R,NC]

Dans le troisi�me exemple, nous redirigeons la requ�te vers une image appartenant � un autre site.

RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !www.example.com [NC]
RewriteRule \.(gif|jpg|png)$ http://other.example.com/image.gif   [R,NC]

De tous ces exemples, les deux derniers semblent les plus efficaces pour faire en sorte que les gens arr�tent de r�f�rencer vos images � chaud, car il ne verront pas les images qu'ils s'attendent � voir.

Si vous ne voulez pas rediriger la requ�te, mais simplement interdire l'acc�s � la ressource, vous pouvez y parvenir sans utiliser mod_rewrite :

SetEnvIf Referer example\.com localreferer
<FilesMatch \.(jpg|png|gif)$>
    Require env localreferer
</FilesMatch>

Dans cet exemple, nous allons discuter d'une m�thode permettant de bloquer les requ�tes persistentes en provenance d'un robot particulier, ou d'un navigateur.

La m�thode classique pour exclure un robot consiste � d�finir un fichier, /robots.txt qui sp�cifie les parties de votre site web pour lesquelles vous voulez exclure les robots. Malheureusement, certains robots ne tiennent pas compte de ces fichiers.

Notez qu'il existe des m�thodes d'exclusion qui n'utilisent pas mod_rewrite. Notez aussi que toute technique qui repose sur le contenu de la cha�ne client USER_AGENT peut �tre contourn�e tr�s facilement car cette cha�ne peut �tre modifi�e.

On utilise un jeu de r�gles qui sp�cifie le r�pertoire � prot�ger, ainsi que la cha�ne client USER_AGENT qui identifie le robot malin ou envahissant.

Dans cet exemple, nous bloquons un robot nomm� Vilain_Robot pour le r�pertoire /secret/fichiers. Si vous voulez bloquer ce client seulement depuis une source particuli�re, vous pouvez aussi sp�cifier un intervalle d'adresses IP.

RewriteCond %{HTTP_USER_AGENT}   ^NameOfBadRobot
RewriteCond %{REMOTE_ADDR}       =123\.45\.67\.[8-9]
RewriteRule ^/secret/files/   -   [F]

Vous pouvez cependant parvenir au m�me r�sultat sans utiliser mod_rewrite via la m�thode alternative suivante :

SetEnvIfNoCase User-Agent ^NameOfBadRobot goaway
<Location /secret/files>
    <RequireAll>
        Require all granted
        Require not env goaway
    </RequireAll>
</Location>

Comme indiqu� plus haut, il est ais� de contourner cette technique, simplement en modifiant le contenu de l'en-t�te USER_AGENT. Si vous subissez une attaque en r�gle, vous allez devoir r�fl�chir � un blocage � un niveau sup�rieur, par exemple une r�gle de filtrage de votre pare-feu.

Nous voulons interdire l'acc�s � notre serveur aux clients contenus dans une liste noire similaire � hosts.deny.

RewriteEngine on
RewriteMap    hosts-deny  txt:/path/to/hosts.deny
RewriteCond   ${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND} !=NOT-FOUND [OR]
RewriteCond   ${hosts-deny:%{REMOTE_HOST}|NOT-FOUND} !=NOT-FOUND
RewriteRule   ^  -  [F]

La seconde condition RewriteCond pr�suppose que HostNameLookups est d�fini � On, de fa�on � ce que les adresses IP des clients puissent �tre r�solues. Dans le cas contraire, vous devez supprimer la seconde condition, ainsi que le drapeau [OR] de la premi�re.

Redirige les requ�tes en fonction du Referer de provenance de la requ�te, avec des cibles diff�rentes pour chaque Referer.

Le jeu de r�gles suivant utilise un fichier de correspondances pour associer chaque Referer � une cible de redirection.

RewriteMap  deflector txt:/path/to/deflector.map

RewriteCond %{HTTP_REFERER} !=""
RewriteCond ${deflector:%{HTTP_REFERER}} =-
RewriteRule ^ %{HTTP_REFERER} [R,L]

RewriteCond %{HTTP_REFERER} !=""
RewriteCond ${deflector:%{HTTP_REFERER}|NOT-FOUND} !=NOT-FOUND
RewriteRule ^ ${deflector:%{HTTP_REFERER}} [R,L]

Le fichier de correspondances contient les cibles de redirection associ�es � chaque Referer, ou, si nous voulons simplement rediriger les requ�tes vers leur Referer, un "-" est inscrit dans le fichier de correspondances :

##
##  deflector.map
##


http://www.mauvais-gars.example.com/mauvais/index.html    -
http://www.mauvais-gars.example.com/mauvais/index2.html   -
http://www.mauvais-gars.example.com/mauvais/index3.html   http://quelque-part.example.com/