Utiliser mod_rewrite pour le contr�le d'acc�s

Cette technique vous permet d'interdire � d'autres sites d'inclure directement vos images dans leurs pages. On fait souvent r�f�rence � cette pratique sous le nom de r�f�rencement � chaud (Hotlinking) qui entra�ne l'utilisation de votre bande passante pour servir des contenus faisant partie du site de quelqu'un d'autre.

Cette technique repose sur la valeur de la variable optionnelle HTTP_REFERER. Certaines personnes pourront donc contourner cette limitation. Pour la plupart des utilisateurs cependant, la requ�te �chouera, en ce sens que l'image ne sera pas affich�e depuis le site tiers.

Il y a plusieurs mani�res de g�rer cette situation.

Dans le premier exemple, nous rejetons tout simplement la requ�te si elle ne provenait pas d'une page appartenant � notre site. Pour les besoins de cet exemple, nous supposons que le nom de votre site est www.example.com.

RewriteCond "%{HTTP_REFERER}" "!^$"
RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
RewriteRule "\.(gif|jpg|png)$"    "-"   [F,NC]

Dans le second exemple, plut�t que de rejeter la requ�te, nous affichons une autre image � la place.

RewriteCond "%{HTTP_REFERER}" "!^$"
RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
RewriteRule "\.(gif|jpg|png)$"    "/images/go-away.png"   [R,NC]

Dans le troisi�me exemple, nous redirigeons la requ�te vers une image appartenant � un autre site.

RewriteCond "%{HTTP_REFERER}" "!^$"
RewriteCond "%{HTTP_REFERER}" "!www.example.com" [NC]
RewriteRule "\.(gif|jpg|png)$" "http://other.example.com/image.gif"   [R,NC]

De tous ces exemples, les deux derniers semblent les plus efficaces pour faire en sorte que les gens arr�tent de r�f�rencer vos images � chaud, car il ne verront pas les images qu'ils s'attendent � voir.

Si vous ne voulez pas rediriger la requ�te, mais simplement interdire l'acc�s � la ressource, vous pouvez y parvenir sans utiliser mod_rewrite :

SetEnvIf Referer "example\.com" localreferer
<FilesMatch "\.(jpg|png|gif)$">
    Require env localreferer
</FilesMatch>

Dans cet exemple, nous allons discuter d'une m�thode permettant de bloquer les requ�tes persistentes en provenance d'un robot particulier, ou d'un navigateur.

La m�thode classique pour exclure un robot consiste � d�finir un fichier, /robots.txt qui sp�cifie les parties de votre site web pour lesquelles vous voulez exclure les robots. Malheureusement, certains robots ne tiennent pas compte de ces fichiers.

Notez qu'il existe des m�thodes d'exclusion qui n'utilisent pas mod_rewrite. Notez aussi que toute technique qui repose sur le contenu de la cha�ne client USER_AGENT peut �tre contourn�e tr�s facilement car cette cha�ne peut �tre modifi�e.

On utilise un jeu de r�gles qui sp�cifie le r�pertoire � prot�ger, ainsi que la cha�ne client USER_AGENT qui identifie le robot malin ou envahissant.

Dans cet exemple, nous bloquons un robot nomm� Vilain_Robot pour le r�pertoire /secret/fichiers. Si vous voulez bloquer ce client seulement depuis une source particuli�re, vous pouvez aussi sp�cifier un intervalle d'adresses IP.

RewriteCond "%{HTTP_USER_AGENT}"   "^NameOfBadRobot"
RewriteCond "%{REMOTE_ADDR}"       "=123\.45\.67\.[8-9]"
RewriteRule "^/secret/files/"   "-"   [F]

Vous pouvez cependant parvenir au m�me r�sultat sans utiliser mod_rewrite via la m�thode alternative suivante :

SetEnvIfNoCase User-Agent "^NameOfBadRobot" goaway
<Location "/secret/files">
    <RequireAll>
        Require all granted
        Require not env goaway
    </RequireAll>
</Location>

Comme indiqu� plus haut, il est ais� de contourner cette technique, simplement en modifiant le contenu de l'en-t�te USER_AGENT. Si vous subissez une attaque en r�gle, vous allez devoir r�fl�chir � un blocage � un niveau sup�rieur, par exemple une r�gle de filtrage de votre pare-feu.

Nous voulons interdire l'acc�s � notre serveur aux clients contenus dans une liste noire similaire � hosts.deny.

RewriteEngine on
RewriteMap    hosts-deny  "txt:/path/to/hosts.deny"
RewriteCond   "${hosts-deny:%{REMOTE_ADDR}|NOT-FOUND}" "!=NOT-FOUND" [OR]
RewriteCond   "${hosts-deny:%{REMOTE_HOST}|NOT-FOUND}" "!=NOT-FOUND"
RewriteRule   "^"  "-"  [F]

La seconde condition RewriteCond pr�suppose que HostNameLookups est d�fini � On, de fa�on � ce que les adresses IP des clients puissent �tre r�solues. Dans le cas contraire, vous devez supprimer la seconde condition, ainsi que le drapeau [OR] de la premi�re.

Redirige les requ�tes en fonction du Referer de provenance de la requ�te, avec des cibles diff�rentes pour chaque Referer.

Le jeu de r�gles suivant utilise un fichier de correspondances pour associer chaque Referer � une cible de redirection.

RewriteMap  deflector "txt:/path/to/deflector.map"

RewriteCond "%{HTTP_REFERER}" !=""
RewriteCond "${deflector:%{HTTP_REFERER}}" "=-"
RewriteRule "^" "%{HTTP_REFERER}" [R,L]

RewriteCond "%{HTTP_REFERER}" !=""
RewriteCond "${deflector:%{HTTP_REFERER}|NOT-FOUND}" "!=NOT-FOUND"
RewriteRule "^" "${deflector:%{HTTP_REFERER}}" [R,L]

Le fichier de correspondances contient les cibles de redirection associ�es � chaque Referer, ou, si nous voulons simplement rediriger les requ�tes vers leur Referer, un "-" est inscrit dans le fichier de correspondances :

##
##  deflector.map
##

http://badguys.example.com/bad/index.html    -
http://badguys.example.com/bad/index2.html   -
http://badguys.example.com/bad/index3.html   http://somewhere.example.com/