wmv-Player & htaccess

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • wmv-Player & htaccess

    Hallo,

    ich stehe vor folgendem Problem:

    Ich habe ein einem wmv-Player der wmv-Dateien aus einen Ordner anzeigen soll der mit htaccess wie folgt geschützt ist:

    Code:
    SetEnvIfNoCase Referer "^http://www.meineseite.com/" ref
    
    Order Deny,Allow
    Deny from all
    Allow from env=ref
    Rufe ich eine wmv direkt per link auf, funktioniert dies natürlich nicht. So soll es ja auch sein.

    Aber blöd ist, dass der Player sie auch nicht abspielt:
    Code:
    <embed src="http://meineseite.com/movies/film.wmv" type="application/x-mplayer2" 
        width="200"
        height="150"
        align="center"
        border="0"
        autostart="1"
        transparentatstart="0"
        animationatstart="1"
        showcontrols="true"
        showaudiocontrols="1"
        showpositioncontrols="1"
        autosize="1"
        showstatusbar="1"
        displaysize="true">
    </embed>
    Weiß jemand Rat?

    Gruß Nordin

  • #2
    Vermutlich sendet der Player gar keinen Referer.

    Leeren Referer auch erlauben ist die Standardlösung.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      Mit großer Wahrscheinlichkeit wird der Player gar nicht wissen, von welcher Seite aus er eingebettet wurde und kann daher auch keinen Referer-Header senden.

      Gruß,

      Amica

      Edit: ups, zwei Minuten zu spät abgeschickt

      Edit2: Was du zusätztlich beachten musst http://www.example.com ist nicht dasselbe wie http://example.com
      Zuletzt geändert von AmicaNoctis; 13.01.2010, 19:58.
      [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
      Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
      Super, danke!
      [/COLOR]

      Kommentar


      • #4
        Zitat von Nordin Beitrag anzeigen
        Ich habe ein einem wmv-Player der wmv-Dateien aus einen Ordner anzeigen soll der mit htaccess wie folgt geschützt ist:

        Code:
        SetEnvIfNoCase Referer "^http://www.meineseite.com/" ref
        
        Order Deny,Allow
        Deny from all
        Allow from env=ref
        Rufe ich eine wmv direkt per link auf, funktioniert dies natürlich nicht. So soll es ja auch sein.
        Du könntest dir eine einfache HTML-Seite basteln, die einen Link zur WMV-Datei enthält.
        Die lädst du auf den Server hoch und rufst sie mit dem Browser auf.
        Dann klickts du auf den Link. In dem Fall müsste der Browser die Datei "anzeigen" oder zum Download anbieten. Kommt eine Fehlermeldung, weißt du, dass mit deiner Konfiguration irgendwas nicht stimmt, weil Browser in der Standardeinstellung den Referrer mitschicken.

        Aber blöd ist, dass der Player sie auch nicht abspielt:
        Prüfe, welchen Referrer der Browser an den Server sendet (oder ob er überhaupt einen mitschickt), wenn er den Player "aufruft".

        Update: Mist, zu spät!
        Klingon function calls do not have “parameters”‒they have “arguments”‒and they always win them!

        Kommentar


        • #5
          Kann ich dem Player irgendwie einen Refferer mitteilen?

          Wenn ich einen leeren Refferer erlaube dann kann man die Datei doch auch direkt aufrufen richtig? - Wenn ja dann ist das natürlich nicht Sinn und Zweck.

          Kommentar


          • #6
            Zitat von Nordin Beitrag anzeigen
            Kann ich dem Player irgendwie einen Refferer mitteilen?
            Eher nicht. Referrer information with embedded media player - Dev Articles
            [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
            Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
            Super, danke!
            [/COLOR]

            Kommentar


            • #7
              Zitat von Nordin Beitrag anzeigen
              Kann ich dem Player irgendwie einen Refferer mitteilen?

              Wenn ich einen leeren Refferer erlaube dann kann man die Datei doch auch direkt aufrufen richtig? - Wenn ja dann ist das natürlich nicht Sinn und Zweck.
              Ich sehe in dieser Art von Pseudo-Verbarrikadierung über einen HTTP-Header, der keinerlei Relevanz hat und beliebig manipuliert werden kann, überhaupt keinen Sinn und keinen Zweck. Mir gehen solche Websitebetreiber auf den Zeiger, die meinen, damit den Abruf ihrer Ressourcen irgendwie zu erschweren.

              Entweder machst du das Zeug frei zugänglich, oder du schränkst den Nutzerkreis auf eine sinnvolle Weise, wie bspw. Benutzer-Authentifizierung, ein. Das wären saubere Lösungen. Letztere für den Fall, dass du Angst vor zu viel Download-Traffic hast. Alles andere lässt sich umgehen.

              Schau dir für diesen Zweck einfach mal die Manpages für wget an. Das Hinzufügen eines HTTP-Referrers ist da ein Kinderspiel, und andere Downloadmanager machen das teilweise automatisch. Diese Art von Versteckspiel wirkt dadurch irgendwie sinnbefreit.
              Klingon function calls do not have “parameters”‒they have “arguments”‒and they always win them!

              Kommentar


              • #8
                @fireweasel

                Ganz starke Aussage! Top! Weil du auch weißt wofür das benötigt wird. unfassbar...

                Schonmal was von Jugendschutz gehört?
                Die Dateien dürfen leider nicht direkt erreichbar sein.
                In einem AVS geschützten Mitgliederbereich befindet sich der Player der die Daten aus dem htaccess Ordner holt.

                Kommentar


                • #9
                  Deswegen ist es immer gut, wenn man von vorn herein die ganze Situation schildert, und nicht nur das, was man sich gerade in den Kopf gesetzt hat. Denn viele Köpfe haben oft mehr Ideen, als einer.

                  Dein geschützter Bereich verfügt ja sicher über einen Schutz. Dann solltest du diesen Schutz auch auf die Dateien anwenden und nicht nur auf die HTML-Seite die den Player einbindet.

                  Im konkreten Fall wird das vermutlich eine Session sein, aber bitte maul mich nicht auch an, wenn ich falsch liege. Alles was nicht explizit erklärt wird, können wir nur vermuten.

                  OffTopic:
                  Auch jeder 14 jährige ist in der Lage nen Header nach der o.g. Methode zu manipulieren. Ich denke das dürfte man inzwischen sogar in der Schule lernen.

                  Kommentar


                  • #10
                    Also wie eben schon geschrieben ist es ein Bereich der nur für eine jugendliche ab 18 ist... keine dieser Dateien darf Direkt erreichbar sein, darum sind sie in einen htaccess geschützten Ordner. Diese Dateien kann man per Player anschauen. Dieser Player liegt in einem Session geschützten Memberbereich... dort kommt man wiederum erst rein wenn man durch ein AVS durch gekommen ist.

                    Kommentar


                    • #11
                      Ja, dann hab ich ja ins Schwarze getroffen. Lösung steht oben.

                      Kommentar


                      • #12
                        Zitat von Nordin Beitrag anzeigen
                        @fireweasel

                        Ganz starke Aussage! Top! Weil du auch weißt wofür das benötigt wird. unfassbar...

                        Schonmal was von Jugendschutz gehört?
                        Die Dateien dürfen leider nicht direkt erreichbar sein.
                        Dann weißt du ja auch, dass du den Zugang wirksam schützen musst … eine Erschwerung ist kein Schutz!
                        [FONT="Helvetica"]twitter.com/unset[/FONT]

                        Shitstorm Podcast – Wöchentliches Auskotzen

                        Kommentar


                        • #13
                          Wie Unset schon sagt: Mit einer reinen Refererprüfung schießt Du dir selbst ins Bein, weil diese viel zu leicht zu umgehen ist.

                          Wenn Du es sauber machen willst, wirst du nicht drumrumkommen, die WMV-Inhalte der Session-Prüfung zu unterziehen, wie Du es mit den umgebenden HTML-Seiten ja wahrscheinlich schon machst.

                          Kommentar


                          • #14
                            also in den php dateien die geschützt sind habe prüfe ich ob der user sich eingeloggt hat (also aub eine bestimmte session variable existiert die beim login erstellt wurde) ... aber wie mache ich das mit wmv?

                            Kommentar


                            • #15
                              Vom Prinzip her genauso. Eine PHP-Datei, die die Überprüfung vornimmt und die wmv-Datei nur ausliefert, wenn die Überprüfung erfolgreich (=positiv) war.

                              Kommentar

                              Lädt...
                              X