Sicheres Extranet ?

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • Sicheres Extranet ?

    Hi
    Ich bräuchte mal einen Rat Tip etc ....

    Folgendes Szenario

    Extranet auf Postnuke Basis mit ein paar 100er User die alle angemeldet mit passwort sind...

    Jetzt sollen mehrere 10tausend Maschinen Dateien zum Download abgelegt werden (DB scheidet da wohl aus ;-) ).... die aber gegen den unangemeldeten zugriff oder direkten Link geschützt sein müssen.
    Dateienauflisten zum Download geschieht in der Site durch einen Directorylist PHPscript der im Frame läuft.

    Für einen Tip wäre ich dankbar !
    Dachte an htaccces ... aber wie bekomme ich die anmeldedaten rüber bzw müssen dann die Passwörter auch noch in einem File stehen ???
    ModAuth ist nicht vorhanden im Apache ...

    Schon mal danke für eine Tip

    Gruß
    Eric

  • #2
    Hallo,

    nur zur Info:

    The End :: PostNuke :: Flexible Content Management System
    Zikula Community :: Support at your fingertips

    Gruß,

    Amica
    [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
    Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
    Super, danke!
    [/COLOR]

    Kommentar


    • #3
      Danke aber Sicher müssen die Verzeichnisse werden die mit dem dirlist script angezeigt werden.

      Gruß

      Kommentar


      • #4
        Dann versteh ich deine Frage nicht. Kannst du PHP? Wenn ja, sollte es doch kein Problem sein, ein kleines Login-Script zu basteln. Falls du PHP nicht kannst, ist dein Anliegen sowieso nicht auf die Schnelle zu lösen und du solltest dir professionelle Hilfe suchen.

        Dateienauflisten zum Download geschieht in der Site durch einen Directorylist PHPscript der im Frame läuft
        Ehrlich gesagt, sträuben sich mir schon hier die Nackenhaare, weil das nach einem wild zusammengehackten Script-Chaos klingt.
        [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
        Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
        Super, danke!
        [/COLOR]

        Kommentar


        • #5
          Zitat von AmicaNoctis Beitrag anzeigen
          Dann versteh ich deine Frage nicht. Kannst du PHP? Wenn ja, sollte es doch kein Problem sein, ein kleines Login-Script zu basteln. Falls du PHP nicht kannst, ist dein Anliegen sowieso nicht auf die Schnelle zu lösen und du solltest dir professionelle Hilfe suchen.



          Ehrlich gesagt, sträuben sich mir schon hier die Nackenhaare, weil das nach einem wild zusammengehackten Script-Chaos klingt.

          Na wenn ich so ein Profi in PHP MySQL und Apache wäre würde ich hier ja nicht das Thema zur Diskussion stellen .....

          Also nochmal User sind angemeldet über PHP und MySQL im Postnuke, in dem einfach ein zusätzliches PHPscript angezegt wird mit einem Dirlist Script .....(Das gibt es schon alles) Die Verzeichnisse sollen aber nun mit htaccess sicher gemacht werden gegen den Zugriff mit direkten link !!!!!!

          Kommentar


          • #6
            Zitat von ebs-soft Beitrag anzeigen
            Die Verzeichnisse sollen aber nun mit htaccess sicher gemacht werden gegen den Zugriff mit direkten link !!!!!!
            Mit htaccess müsstest du deine User doppelt verwalten: in der DB und in der htaccess. Das wäre Blödsinn. Du müsstest also jede Anfrage nach so einem Verzeichnis oder einer Datei mit PHP abfangen und vor der Auslieferung (z. B. per readfile) die Authentifizierung prüfen. Dieses Abfangen könnte man mittels Request Funnelling (mod_rewrite) erledigen oder du übergibst den Pfad immer per Get-Parameter an ein festes PHP-Script – d. h. du erzeugst deine URLs anders, z. B. so:
            http://example.com/download.php?file=pfad/zu/geschützter/Datei.txt
            statt
            http://example.com/pfad/zu/geschützter/Datei.txt

            Letzteres geht zwar auch, aber halt nur mit Request Funnelling.
            [COLOR="DarkSlateGray"]Hast du die [COLOR="DarkSlateGray"]Grundlagen zur Fehlersuche[/color] gelesen? Hast du Code-Tags benutzt?
            Hast du als URL oder Domain-Beispiele example.com, example.net oder example.org benutzt?
            Super, danke!
            [/COLOR]

            Kommentar


            • #7
              Zitat von AmicaNoctis Beitrag anzeigen
              Mit htaccess müsstest du deine User doppelt verwalten: in der DB und in der htaccess. Das wäre Blödsinn. Du müsstest also jede Anfrage nach so einem Verzeichnis oder einer Datei mit PHP abfangen und vor der Auslieferung (z. B. per readfile) die Authentifizierung prüfen. Dieses Abfangen könnte man mittels Request Funnelling (mod_rewrite) erledigen oder du übergibst den Pfad immer per Get-Parameter an ein festes PHP-Script – d. h. du erzeugst deine URLs anders, z. B. so:
              http://example.com/download.php?file...zter/Datei.txt
              statt
              http://example.com/pfad/zu/geschützter/Datei.txt

              Letzteres geht zwar auch, aber halt nur mit Request Funnelling.

              also mit mod_rewrite ??? Gute Idee da dann der Pfad zumindestens verfälscht ist !
              Werde mich mal schlau machen
              Danke !

              Gruß
              Eric


              Bin auch schon etwas fündig geworden ...... Das ist natürlich auch ein Ansatz den man probieren kann !

              Deny Access To Everyone Except PHP fopen

              This allows access to all files by php fopen, but denies anyone else.

              RewriteEngine On
              RewriteBase /
              RewriteCond %{THE_REQUEST} ^.+$ [NC]
              RewriteRule .* - [F,L]

              If you are looking for ways to block or deny specific requests/visitors, then you should definately read Blacklist with mod_rewrite. I give it a 10/10
              Deny access to anything in a subfolder except php fopen

              This can be very handy if you want to serve media files or special downloads but only through a php proxy script.

              RewriteEngine On
              RewriteBase /
              RewriteCond %{THE_REQUEST} ^[A-Z]{3,9}\ /([^/]+)/.*\ HTTP [NC]
              RewriteRule .* - [F,L]- [F,L]

              mal sehen ob ich das zum laufen bekomme .......
              Zuletzt geändert von ebs-soft; 26.07.2010, 23:56.

              Kommentar


              • #8
                Dafür brauchst du nur ein simples "Deny from all" in der Serverkonfiguration oder .htaccess. PHP hat trotzdem weiterhin Zugriff auf die Daten.

                Kommentar

                Lädt...
                X