Dateidownload auch ohne Rechte möglich

Fragen zur Installation von ConPresso 4 werden in diesem Forum diskutiert.
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Dateidownload auch ohne Rechte möglich

Beitrag von SK2010 »

Hallo,
habe eben bemerkt, dass Dateien aus geschützten Rubriken auch ohne login geöffnet und heruntergeladen werden können wenn man sich nur den Link zum _data-Verzeichnis gespeichert hat. Wie lässt sich dieses Vehalten verhindern?
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

Funtioniert leider nicht - dann wird gar keine Datei mehr gefunden Error:404 - Not found! Wir nutzen Compresso 4.1.2 / PHP 5.4 bei 1&1
Wahrscheinlich wird die .htacces nicht gelesen - die Prüfversion mit Umlenkung auf die www-Seite geht ebenfalls nicht.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Bei 1&1 funktionieren .htaccess-Dateien normalerweise.

Dies ist z.B. eine 1&1-Seite
http://kft-online.de/_rubric/index.php?rubric=Home

Du siehst beim Aufruf wie auf die WWW-Seite umgeleitet wird (mit genau dem geposteten Umleitungs-Script).
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

... gut - das Umleitungsscript funktioniert ...
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

Ergebnis der 3 .htaccess-Versionen fürs Root-Verzeichnis:
die ersten beiden wirken nicht
die letzte sperrt alles, auch freie Pics und Dateien mit und ohne Anmeldung
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Du beziehst Dich jetzt vermutlich auf irgendwelche Codes aus einem anderen Thread, die sich wiederum NICHT auf Deinen Webauftritt beziehen, wenn Du sie nicht auf Deinen Webauftritt umgeschrieben hast.
Dein ROOT-Verzeichnis ist bestimmt ein anderes als bei anderen...
Somit hast Du eine fehlerhafte htaccess, die entweder nicht funktioniert oder alles lahmlegt.

Wenn Du die Codes selbsttätig verändert hast, dann solltest Du sie auch HIER posten, damit man über irgendwas reden kann.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

Bsp3 wirkt auch nicht (da hatte ich ein Zeichen vergessen)
-------------------------------------------------------------------


Bsp1

RewriteEngine on
RewriteCond %{REQUEST_URI} !\/home\/data\/(.*)\.php
RewriteRule ^\/home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]

Bsp2

RewriteEngine on
RewriteRule ^\/home\/_data\/(.*)\.(jpg|gif|png|pdf)$ /home/_data/download.php?filename=$1.$2 [R,L]

Bsp3

RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*)\.php
RewriteRule ^\home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Ich habe gerade festgestellt, dass ich das Ganze auf einem 1&1 Account entwickelt habe, sollte also durchaus gehen.

Die .htaccess im Verzeichnis _data sollte so aussehen

Code: Alles auswählen

RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI}  !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1
Das

Code: Alles auswählen

RewriteBase /home/_data
scheint bei 1&1 wichtig zu sein, sagt zumindest auch deren FAQ.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

Mit letzterem Code:
Alle Bilder werden nur noch durch Platzhalter angezeigt
Es lassen sich keine Dateien mehr öffnen (weißer Bildschirm) ... egal, ob angemeldet oder nicht

Gruß
STephan
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Der Witz an mod_rewrite ist ja, dass die URL umgeschrieben wird.
Daher ist es sehr informativ, wenn man einfach das Ergebnis der Umschreibung nennt.
Also z.B. aus
www.meinedomain.de/_data/bild.jpg
wird
www.meinedomain.de/_data/download.php?file=bild.jpg
weil möglicherweise wird ja erfolgreich umgeschrieben, nur stimmt vielleicht was mit dem Pfad nicht.

Und was sind "keine Dateien"?
Sind das Dateien (Bilder, PDFs) aus _data oder alle Dateien, also auch PHP-Dateien und dies überall?

Sorry wenn ich fragen muss, aber ich kann nur mit dem arbeiten, was Du preisgibst.

Übrigens:
Alle Bilder werden nur noch durch Platzhalter angezeigt
passiert bei mir auch, wenn ich versuche Bilder über ein zweites Fenster aufzurufen, also wenn das nicht das Fenster ist, in dem auch das Login stattfand (oder dies aus dem Fenster, in dem das Login stattfand, aufgerufen wurde)
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

--gemeint waren die downloadbaren Dateien (pdf, doc, gif, ..., keine php)
--alle eingebundenen Pics sind nur durch Platzhalter dargestellt und lassen sich auch durch anklicken nicht vergrößert darstellen
--die .htacces scheint nicht umzuschreiben (ohne download.php), der Pfad bleibt wie er ist, aber richtig (und nur weißem Bildschirm)
--die 3 Varianten der .htacces fürs Rootverzeichnis haben umgelenkt (mit download.php im Pfad), der Effekt war aber der gleiche

Gruß
Stephan
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Ergänze noch

Code: Alles auswählen

RewriteRule ^(.*)$ download.php?filename=$1 
zu

Code: Alles auswählen

RewriteRule ^(.*)$ download.php?filename=$1 [R,L]
damit man das Umschreiben (externes Redirect) auch sehen kann.

Das war in den Testversionen nicht drin...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
SK2010
ConPresso-User
Beiträge: 51
Registriert: 06.06.2010 20:08
Hat sich bedankt: 3 Mal

Beitrag von SK2010 »

Code (momentan deaktiviert):
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]


anschließend Aufruf des Links für eine Datei in geschlossener Rubrik (zB.):
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf

wird zu:
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf

Ergebnis:
--weißer Bildschirm / PDF wird nicht angezeigt
--außerdem werden keine Pics/Logos auf der Website angezeigt (außer was direkt über ein Template der automatischen Menüerzeugung kommt)
--dieses Verhalten gilt dann ebenfalls für die offenen Rubriken

Gruß
Stephan
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7115
Registriert: 01.01.1970 02:00
Hat sich bedankt: 102 Mal
Danksagung erhalten: 916 Mal

Beitrag von MarkusR »

Super, Umschreiben funktioniert.

Nun könnte es natürlich sein, dass die Dateien, die ausgeliefert werden sollen durch einen Scriptabbruch eine weiße Seite erzeugen.

Hast Du die Version von download.php für PHP5.4 benutzt oder die aus dem ersten Posting?
http://community.conpresso.de/viewtopic ... 8140#28140

Zum Testen der download.php brauchst Du die .htaccess nicht zu aktivieren sondern einfach nur den umgeschrieben Link zu nutzen
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle