ebs-soft
26-07-2010, 13:36
Hi
Ich bräuchte mal einen Rat Tip etc ....
Folgendes Szenario
Extranet auf Postnuke Basis mit ein paar 100er User die alle angemeldet mit passwort sind...
Jetzt sollen mehrere 10tausend Maschinen Dateien zum Download abgelegt werden (DB scheidet da wohl aus ;-) ).... die aber gegen den unangemeldeten zugriff oder direkten Link geschützt sein müssen.
Dateienauflisten zum Download geschieht in der Site durch einen Directorylist PHPscript der im Frame läuft.
Für einen Tip wäre ich dankbar !
Dachte an htaccces ... aber wie bekomme ich die anmeldedaten rüber bzw müssen dann die Passwörter auch noch in einem File stehen ???
ModAuth ist nicht vorhanden im Apache ...
Schon mal danke für eine Tip
Gruß
Eric
AmicaNoctis
26-07-2010, 14:25
Hallo,
nur zur Info:
The End :: PostNuke :: Flexible Content Management System (http://www.postnuke.com/module-Content-view-pid-6.html)
Zikula Community :: Support at your fingertips (http://community.zikula.org/index.php?module=Wiki&tag=PermissionsAdmin)
Gruß,
Amica
ebs-soft
26-07-2010, 14:53
Danke aber Sicher müssen die Verzeichnisse werden die mit dem dirlist script angezeigt werden.
Gruß
AmicaNoctis
26-07-2010, 15:06
Dann versteh ich deine Frage nicht. Kannst du PHP? Wenn ja, sollte es doch kein Problem sein, ein kleines Login-Script zu basteln. Falls du PHP nicht kannst, ist dein Anliegen sowieso nicht auf die Schnelle zu lösen und du solltest dir professionelle Hilfe suchen.
Dateienauflisten zum Download geschieht in der Site durch einen Directorylist PHPscript der im Frame läuft
Ehrlich gesagt, sträuben sich mir schon hier die Nackenhaare, weil das nach einem wild zusammengehackten Script-Chaos klingt.
ebs-soft
26-07-2010, 18:13
Dann versteh ich deine Frage nicht. Kannst du PHP? Wenn ja, sollte es doch kein Problem sein, ein kleines Login-Script zu basteln. Falls du PHP nicht kannst, ist dein Anliegen sowieso nicht auf die Schnelle zu lösen und du solltest dir professionelle Hilfe suchen.
Ehrlich gesagt, sträuben sich mir schon hier die Nackenhaare, weil das nach einem wild zusammengehackten Script-Chaos klingt.
Na wenn ich so ein Profi in PHP MySQL und Apache wäre würde ich hier ja nicht das Thema zur Diskussion stellen .....
Also nochmal User sind angemeldet über PHP und MySQL im Postnuke, in dem einfach ein zusätzliches PHPscript angezegt wird mit einem Dirlist Script .....(Das gibt es schon alles) Die Verzeichnisse sollen aber nun mit htaccess sicher gemacht werden gegen den Zugriff mit direkten link !!!!!!
AmicaNoctis
26-07-2010, 18:25
Die Verzeichnisse sollen aber nun mit htaccess sicher gemacht werden gegen den Zugriff mit direkten link !!!!!!
Mit htaccess müsstest du deine User doppelt verwalten: in der DB und in der htaccess. Das wäre Blödsinn. Du müsstest also jede Anfrage nach so einem Verzeichnis oder einer Datei mit PHP abfangen und vor der Auslieferung (z. B. per readfile) die Authentifizierung prüfen. Dieses Abfangen könnte man mittels Request Funnelling (mod_rewrite) erledigen oder du übergibst den Pfad immer per Get-Parameter an ein festes PHP-Script – d. h. du erzeugst deine URLs anders, z. B. so:
http://example.com/download.php?file=pfad/zu/geschützter/Datei.txt
statt
http://example.com/pfad/zu/geschützter/Datei.txt
Letzteres geht zwar auch, aber halt nur mit Request Funnelling.
ebs-soft
27-07-2010, 00:36
Mit htaccess müsstest du deine User doppelt verwalten: in der DB und in der htaccess. Das wäre Blödsinn. Du müsstest also jede Anfrage nach so einem Verzeichnis oder einer Datei mit PHP abfangen und vor der Auslieferung (z. B. per readfile) die Authentifizierung prüfen. Dieses Abfangen könnte man mittels Request Funnelling (mod_rewrite) erledigen oder du übergibst den Pfad immer per Get-Parameter an ein festes PHP-Script – d. h. du erzeugst deine URLs anders, z. B. so:
http://example.com/download.php?file=pfad/zu/geschützter/Datei.txt
statt
http://example.com/pfad/zu/geschützter/Datei.txt
Letzteres geht zwar auch, aber halt nur mit Request Funnelling.
also mit mod_rewrite ??? Gute Idee da dann der Pfad zumindestens verfälscht ist !
Werde mich mal schlau machen
Danke !
Gruß
Eric
Bin auch schon etwas fündig geworden ...... Das ist natürlich auch ein Ansatz den man probieren kann !
Deny Access To Everyone Except PHP fopen
This allows access to all files by php fopen, but denies anyone else.
RewriteEngine On
RewriteBase /
RewriteCond %{THE_REQUEST} ^.+$ [NC]
RewriteRule .* - [F,L]
If you are looking for ways to block or deny specific requests/visitors, then you should definately read Blacklist with mod_rewrite. I give it a 10/10
Deny access to anything in a subfolder except php fopen
This can be very handy if you want to serve media files or special downloads but only through a php proxy script.
RewriteEngine On
RewriteBase /
RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /([^/]+)/.*\ HTTP [NC]
RewriteRule .* - [F,L]- [F,L]
mal sehen ob ich das zum laufen bekomme .......
Dafür brauchst du nur ein simples "Deny from all" in der Serverkonfiguration oder .htaccess. PHP hat trotzdem weiterhin Zugriff auf die Daten.
