[0nyx]

Hallo Leute,

ich (TYPO3-Anfänger) bin neu hier im Forum und habe gleich mal eine Frage an euch.

Ich würde gerne eine (Unter-)Seite realisieren, auf der angemeldete Benutzer Bilder up- und downloaden können. Den Upload habe ich über die Extension "File Upload" (ext. key: fileupload) realisiert. Den Download habe ich über das Content Element "Filelinks" gemacht. Soweit funktioniert auch alles ganz gut, aber es besteht folgendes Problem: Wenn jemand den Zugriffspfad auf die Bilder kennt (fileadmin/bilder/bild1.jpg), dann kann er diese auch ohne Anmeldung direkt downloaden.

Wie kann ich den Zugriff von unangemeldeten Benutzern vermeiden? Oder würdet ihr generell eine andere Vorgehensweise für die Umsetzung vorschlagen?


MfG,
0nyx

[tscholze]

http://www.yeebase.com/fileadmin/t3n...hmen_admin.pdf

[schdav]

du musst eine leere index.html unter fileadmin/ ablegen oder besser noch eine .htaccess mit dem Inhalt

Code:

Options -Indexes

dort erstellen

[bastian.kuhn]

Zitat:

Zitat von schdav

du musst eine leere index.html unter fileadmin/ ablegen oder besser noch eine .htaccess mit dem Inhalt

Code:

Options -Indexes

dort erstellen

Bringt rein garnichts, weil wir gehen ja davon aus der andere kennt den Pfad zu Bild.

So verhinderst du nur das Verzeichnis listing, sollte normal aber eh nicht ansein....

[schdav]

stimmt, aber ich habe schon etliche Seiten gesehen, bei denen man über meinedomain.de/fileadmin an weitere Daten herankam. Zumindest das ist damit schon einmal ausgeschlossen, wenn man den absoluten Pfad nicht kennt.

In dem Fall, dass die Dateien nur zum Download angeboten werden, bietet sich die Ext. nf_downloads an. Die Frage ist nur, wie diese sich beim Anzeigen von Bildern verhält ...

[tscholze]

Ich bevorzuge die extension "naw_securedl", diese sichert dir quasi alles ab...

[0nyx]

Hallo! Danke erstmal an alle, die geantwortet haben.

@schdav
Das mit der index.html wird für mich nicht ausreichen, da hat bastian.kuhn recht.

@tscholze
Der verlinkte Artikel beschreibt genau mein Problem. Ich werden mir wohl mal die "naw_securedl" Extension anschauen.

[sysco]

Zitat:

Zitat von tscholze

Ich bevorzuge die extension "naw_securedl", diese sichert dir quasi alles ab...

Die Links, die diese Extension liefert, sind aber soweit manipulierbar, daß die geschützten Inhalte wieder frei zugänglich sind.

Beispiel: http://www.beispiel.de/index.php?eID=tx_nawsecuredl&u=66&file=fileadmin/picture.jpg&t=1192
197964&hash=6645ae24c50d7a092ca31979d0551d65

Wenn ich nun den rot markierten Teil rausschneide, ist die Extension umgangen.
Was kann ich machen, um solchen Manipulationen den Wind aus den Segeln zu nehmen ?

[Phlogiston]

Zitat:

Zitat von sysco

Die Links, die diese Extension liefert, sind aber soweit manipulierbar, daß die geschützten Inhalte wieder frei zugänglich sind.

Beispiel: http://www.beispiel.de/index.php?eID=tx_nawsecuredl&u=66&file=fileadmin/picture.jpg&t=1192
197964&hash=6645ae24c50d7a092ca31979d0551d65

Wenn ich nun den rot markierten Teil rausschneide, ist die Extension umgangen.
Was kann ich machen, um solchen Manipulationen den Wind aus den Segeln zu nehmen ?

Hmm also wenn das wirklich geht, wäre das eine grobe Sicherheitslücke in der Extension. Denn genau diese 2 Werte sollten ja von naw_sercuredl überprüft werden.

Also ich habe das gerade bei mir mal überprüft und sobald ich den Hash Wert oder den t Wert verändere, bekomme ich ein schönes: Access denied!
Ohne die beiden Argumente ebenfalls.

[sysco]

Nun, ich habe das mit 2 versch. Browsern getestet, die nichts voneinander wissen sollten bzw. von den Cookies des anderen.

Einmal in Firefox die URL aufgerufen und dann dieselbe URL im IE 7 aufgerufen - ging im IE 7 nicht. Aber nach der Manipulation der URL im IE 7 hatte ich Zugriff.