Dateizugriff sperren

Chitino · 26.03.2009, 14:25

Hallo zusammen,

ich habe im Augenblick ein Problem, womit ich sogar Schwierigkeiten habe, die richtigen Suchworte zu finden, um dieses überhaupt zu beschreiben. Aber vielleicht versteht Ihr meine Erklärung ja.

Also folgendes:

Ich habe ein Webportal basierend auf PHP und MySQL programmiert, mit dem man Dokumente austauschen kann. Die registrierten Benutzer müssen das Login benutzen, um überhaupt die Dateien sehen und runterladen zu können. Soweit funktioniert das auch alles ganz gut.
Nun habe ich aber heute festgestellt, daß falls man den Dateinamen kennt oder ihn den Dateinamen errät, die Dateien auch ohne Login runterladen könnte. Dazu müßte man einfach nur den Pfad im Browser eingeben (z.B. domain.de - Domainabfrage).

Nun könnte ich natürlich das Verzeichnis mit HTACCESS schützen, aber dann müßten sich die Benutzer, auch wenn Sie sich ordnungsgemäß im Webportal angemeldet haben, nochmal für das Verzeichnis authentifizieren. Und das möchte ich eigentlich nicht.

Was kann ich also tun, wenn ich das Verzeichnis einerseits vor dem direkten Zugriff von Außen schützen, andererseits aber den angemeldeten Benutzer uneingeschränkten Zugriff erlauben möchte?

Vielen Dank schon einmal vorab für Eure Vorschläge...

Chitino

webproger · 26.03.2009, 14:31

Hallo

Ich habe mal davon gehört das man .htaccess in einer eigenen Datenbank abspeichern kann. So kannst du .htaccess mit deiner eigenen Benutzerdatenbank koordinieren und hast die Probleme nicht mehr. Oder liege ich da falsch?

webproger

Chitino · 26.03.2009, 15:04

Danke für die Info.

Hab grad mal ein bisschen gegoogelt.
In
.htaccess schutz mit MySQL user_db
wird diese Art beschrieben. Mal schauen, ob ich das auch für meine Zwecke brauchen kann, da ich wahrscheinlich keinen Zugriff auf die Http.conf habe.

Melde mich dann wieder...

Vielleicht hat ja jemand in der Zwischenzeit noch einen anderen Vorschlag...

Grüße

Wolla · 26.03.2009, 15:29

Du kannst die Dateien in einem Ordner ablegen, der nicht über das Web erreichbar ist. Wenn dein www-Ordner zB auf dem Server auf /domainname/www/ liegt, dann baust du den Dokumentenordner auf /domainname/docs/

Die Dateien bietest du dann mit der PHP-Anweisung readfile zum Download an. Ich habe so was ähnliches für csv-Files gemacht, hier wirst du also die Zeile content type anpassen müssen:

PHP-Code:

              header('Content-Description: File Transfer');
            header("Content-Type: text/x-csv"); 
            header('Expires: 0');
            header("Content-Disposition: attachment; filename=$filename"); 
            header('Cache-Control: must-revalidate, post-check=0, pre-check=0');
            header('Pragma: public');
            header('Content-Length: ' . filesize($filename));
            readfile($filename);

Chitino · 26.03.2009, 15:29

Tja,
so wie es aussieht, kann ich bei meinem Hosting Vertrag weder das erforderliche "mod_auth_mysql"-Modul installieren, noch die HTTP-Conf anpassen.

Bräuchte also noch eine andere Lösung. Hat jemand noch einen?

Wolla · 26.03.2009, 15:32

Ergänzung:

Wenn dein Webspace auch keine Ordner ausserhalb des Webs zulässt, und auch keine htaccess möglich ist, dann könnte es auch klappen, diesem Ordner einen sehr kryptischen namen zu geben - der Ordnername ist ja nirgendwo mehr sichtbar.

Chitino · 26.03.2009, 15:51

@Wolla
Danke für Deine Möglichkeiten.
Zum ersten Vorschlag: Ich habe einen gemieteten Server auf dem Apache läuft und der eine eigenen IP-Adresse hat. Wenn ich nun meinen Dateiordner direkt in das htdocs Verzeichnis lege, ist es aber denoch über die IP-Adresse des Servers ansprechbar (z.B. http://10.10.10.10/files/...). Auf die Verzeichnis oberhalb habe ich leider keinen Zugriff.
Damit fällt diese Möglichkeit leider aus.

Zur zweiten Möglichkeit: Wäre natürlich eine Lösung, aber die Dateien wären dann trotzdem immer noch mit der direkten Eingabe abrufbar (wenn auch nicht mehr ganz so einfach).

Da muß es doch noch eine andere Lösung geben, oder?

26.03.2009, 18:13

Na sicher. Ob es die eleganteste Lösung ist weiss ich nicht, aber es funktioniert...
Die Rechte der betreffenden Dateien mit chmod auf 0600 setzen, dann funktioniert nur noch das Herunterladen per Verknüpfung. Ein direkter Aufruf der Datei oder das Betrachten ist nicht mehr möglich.

Helmut

jw-lighting · 26.03.2009, 18:18

Zitat:

Zitat von Registrierer

N mit chmod auf 0600 setzen, dann funktioniert nur noch das Herunterladen per Verknüpfung.

Wenn ich das richtig verstehe, würde es also reichen sich ne kleine HTML-datei mit nem Link drin zu schreiben? Toller Schutz

Chitino · 27.03.2009, 00:19

@ Helmut:
Danke für diesen Vorschlag. Es wäre zwar noch nicht optimal, aber immerhin schon einmal ein Schritt in die richtige Richtung. Aber leider funktioniert Dein Vorschlag bei mir nicht.
Habe eine Textdatei und eine HTML-Datei mit einem Link auf diese Datei hochgeladen

Code:

<a href="textdatei.txt">Download</a>

Der Link funktioniert und natürlich auch der direkte Zugriff. Dann Zugriffsrechte mittels CHMOD auf 0600 gesetzt. Danach konnte ich weder mit dem Link noch direkt auf die Textdatei zugreifen. Muß ich irgendwas am Link beachten?

@ jw-lighting:
Tja, das ist genau das, warum ich noch nicht 100% davon überzeugt bin...

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
txt datei beim schreiben sperren	Quest15041983	PHP Tipps 2008	2	16.02.2008 21:09
Bilder vor externen Zugriff sperren?	BartTheDevil89	PHP Tipps 2007	5	14.01.2007 15:25
copy & paste sperren?	bifi5590	HTML, Usability und Barrierefreiheit	17	02.10.2006 14:05
Mitglied sperren, bannen ...	imported_Ben	Off-Topic Diskussionen	2	10.09.2006 15:16
.htaccess // alles sperren außer einem Ordner	JEGO	PHP Tipps 2006	6	21.02.2006 19:23
Eingabefeld sperren, wenn Wert eingegeben wird	Mike55	HTML, Usability und Barrierefreiheit	3	17.01.2006 19:24
bestimmtes verzeichnis immer sperren	mAy^daY	Server, Hosting und Workstations	3	03.01.2006 12:46
Variable sperren?	Anotherone	PHP Tipps 2007	4	01.12.2005 21:33
input box gegen schutz der veränderung sperren		HTML, Usability und Barrierefreiheit	8	08.09.2005 21:14
Dateizugriff sperren, wenn Aktion in gang	tekknotrip	PHP Tipps 2005-2	1	06.09.2005 17:33
Zugriff auf einen Datensatz sperren ???	sharky	PHP Tipps 2005	1	16.04.2005 00:14
[Erledigt] Datensätze sperren in PHP?		Datenbanken	5	22.02.2005 19:22
Datei sperren		PHP Tipps 2004-2	9	15.12.2004 14:29
Email adressen sperren		PHP Tipps 2004-2	18	19.11.2004 09:55
[Erledigt] Sperren von Tabellen		Datenbanken	3	29.10.2004 19:49

26.03.2009, 14:25
Chitino Neuer Benutzer Registriert seit: 16.02.2009 Beiträge: 11	Dateizugriff sperren Hallo zusammen, ich habe im Augenblick ein Problem, womit ich sogar Schwierigkeiten habe, die richtigen Suchworte zu finden, um dieses überhaupt zu beschreiben. Aber vielleicht versteht Ihr meine Erklärung ja. Also folgendes: Ich habe ein Webportal basierend auf PHP und MySQL programmiert, mit dem man Dokumente austauschen kann. Die registrierten Benutzer müssen das Login benutzen, um überhaupt die Dateien sehen und runterladen zu können. Soweit funktioniert das auch alles ganz gut. Nun habe ich aber heute festgestellt, daß falls man den Dateinamen kennt oder ihn den Dateinamen errät, die Dateien auch ohne Login runterladen könnte. Dazu müßte man einfach nur den Pfad im Browser eingeben (z.B. domain.de - Domainabfrage). Nun könnte ich natürlich das Verzeichnis mit HTACCESS schützen, aber dann müßten sich die Benutzer, auch wenn Sie sich ordnungsgemäß im Webportal angemeldet haben, nochmal für das Verzeichnis authentifizieren. Und das möchte ich eigentlich nicht. Was kann ich also tun, wenn ich das Verzeichnis einerseits vor dem direkten Zugriff von Außen schützen, andererseits aber den angemeldeten Benutzer uneingeschränkten Zugriff erlauben möchte? Vielen Dank schon einmal vorab für Eure Vorschläge... Chitino


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

26.03.2009, 14:31
webproger Erfahrener Benutzer Registriert seit: 02.12.2008 Beiträge: 357	Hallo Ich habe mal davon gehört das man .htaccess in einer eigenen Datenbank abspeichern kann. So kannst du .htaccess mit deiner eigenen Benutzerdatenbank koordinieren und hast die Probleme nicht mehr. Oder liege ich da falsch? webproger __________________

26.03.2009, 15:04
Chitino Neuer Benutzer Registriert seit: 16.02.2009 Beiträge: 11	Danke für die Info. Hab grad mal ein bisschen gegoogelt. In .htaccess schutz mit MySQL user_db wird diese Art beschrieben. Mal schauen, ob ich das auch für meine Zwecke brauchen kann, da ich wahrscheinlich keinen Zugriff auf die Http.conf habe. Melde mich dann wieder... Vielleicht hat ja jemand in der Zwischenzeit noch einen anderen Vorschlag... Grüße

26.03.2009, 15:29
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Du kannst die Dateien in einem Ordner ablegen, der nicht über das Web erreichbar ist. Wenn dein www-Ordner zB auf dem Server auf /domainname/www/ liegt, dann baust du den Dokumentenordner auf /domainname/docs/ Die Dateien bietest du dann mit der PHP-Anweisung readfile zum Download an. Ich habe so was ähnliches für csv-Files gemacht, hier wirst du also die Zeile content type anpassen müssen: PHP-Code: header('Content-Description: File Transfer'); header("Content-Type: text/x-csv"); header('Expires: 0'); header("Content-Disposition: attachment; filename=$filename"); header('Cache-Control: must-revalidate, post-check=0, pre-check=0'); header('Pragma: public'); header('Content-Length: ' . filesize($filename)); readfile($filename);

26.03.2009, 15:32
Wolla Moderator Registriert seit: 06.06.2008 Beiträge: 4.945 PHP-Kenntnisse: Fortgeschritten	Ergänzung: Wenn dein Webspace auch keine Ordner ausserhalb des Webs zulässt, und auch keine htaccess möglich ist, dann könnte es auch klappen, diesem Ordner einen sehr kryptischen namen zu geben - der Ordnername ist ja nirgendwo mehr sichtbar.

26.03.2009, 15:51
Chitino Neuer Benutzer Registriert seit: 16.02.2009 Beiträge: 11	@Wolla Danke für Deine Möglichkeiten. Zum ersten Vorschlag: Ich habe einen gemieteten Server auf dem Apache läuft und der eine eigenen IP-Adresse hat. Wenn ich nun meinen Dateiordner direkt in das htdocs Verzeichnis lege, ist es aber denoch über die IP-Adresse des Servers ansprechbar (z.B. http://10.10.10.10/files/...). Auf die Verzeichnis oberhalb habe ich leider keinen Zugriff. Damit fällt diese Möglichkeit leider aus. Zur zweiten Möglichkeit: Wäre natürlich eine Lösung, aber die Dateien wären dann trotzdem immer noch mit der direkten Eingabe abrufbar (wenn auch nicht mehr ganz so einfach). Da muß es doch noch eine andere Lösung geben, oder?

26.03.2009, 18:13
Registrierer Gast Beiträge: n/a	Na sicher. Ob es die eleganteste Lösung ist weiss ich nicht, aber es funktioniert... Die Rechte der betreffenden Dateien mit chmod auf 0600 setzen, dann funktioniert nur noch das Herunterladen per Verknüpfung. Ein direkter Aufruf der Datei oder das Betrachten ist nicht mehr möglich. Helmut

27.03.2009, 00:19
Chitino Neuer Benutzer Registriert seit: 16.02.2009 Beiträge: 11	@ Helmut: Danke für diesen Vorschlag. Es wäre zwar noch nicht optimal, aber immerhin schon einmal ein Schritt in die richtige Richtung. Aber leider funktioniert Dein Vorschlag bei mir nicht. Habe eine Textdatei und eine HTML-Datei mit einem Link auf diese Datei hochgeladen Code: <a href="textdatei.txt">Download</a> Der Link funktioniert und natürlich auch der direkte Zugriff. Dann Zugriffsrechte mittels CHMOD auf 0600 gesetzt. Danach konnte ich weder mit dem Link noch direkt auf die Textdatei zugreifen. Muß ich irgendwas am Link beachten? @ jw-lighting: Tja, das ist genau das, warum ich noch nicht 100% davon überzeugt bin... Geändert von Chitino (27.03.2009 um 00:29 Uhr).