Schutz vor unberechtigtem Dateizugriff (mod_xfiles)

Fragen zur Implementierung und/oder Anpassung von ConPresso 4 werden in diesem Forum diskutiert.
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Der Provider hatte auf der Suche nach einer Lösung seine eigene .htaccess ins root gelegt...
Die habe ich jetzt rausgeschmissen.
Ansonsten ist alles wie du sagst: Es gibt jede Menge PDFs, die nur einer geschlossenen Rubrik zugeordnet sind und auch in Artikeln der Rubrik verlinkt sind.

Gruß,
dutch
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Lade doch bitte mal irgendein Bild hoch und ordne es der geschlossenen Rubrik zu.
Dann poste den Link dazu.

http://www.mcfworld.com/cms/_data/dummy.jpg
wird korrekt umgeleitet zu
http://www.mcfworld.com/cms/_data/downl ... =dummy.jpg
(nur gibt es dummy.jpg eben nicht)

Wenn da nun ein leeres Browserfenster erscheint, dann funktioniert alles bis auf PHP 5.4. Anbei eine download.php, die auch mit PHP 5.4 laufen sollte.
Dateianhänge
download.php.zip
(2.89 KiB) 298-mal heruntergeladen
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

dummy.jpg gibt es jetzt, aber wird bei mir auch angezeigt mit klick auf
http://www.mcfworld.com/cms/_data/dummy.jpg

Gruß,
ducth
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Da stimmt noch was nicht...
Kleinen Moment...
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

So, habe jetzt das folgende dummy PDF hochgeladen und in der geschlossenen Rubrik in einen Artikel gepackt, aber geht immer noch auf...

http://www.mcfworld.com/cms/_data/dummy.pdf

(die neue download.php ist auch eingebaut)

Gruß,
ducth
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

download.php funktioniert schon mal, siehe
http://www.mcfworld.com/cms/_data/downl ... =dummy.jpg
und
http://www.mcfworld.com/cms/_data/downl ... =dummy.pdf

bleibt nur die Frage, warum die .htaccess nicht so funktioniert, wie sie soll...
Zuletzt geändert von MarkusR am 17.06.2014 19:02, insgesamt 1-mal geändert.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Sehe gerade, dass meine forbidden-Grafik angezeigt wird, wenn ich versuche eine Datei zu laden, die es nicht mehr in _data gibt...
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ja, waren wir gleich schnell.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Teste doch bitte mal alternativ dies in der .htaccess

Code: Alles auswählen

RewriteEngine on
RewriteRule ^(.*).pdf$ download.php?filename=$1
RewriteRule ^(.*).jpg$ download.php?filename=$1
RewriteRule ^(.*).gif$ download.php?filename=$1
RewriteRule ^(.*).png$ download.php?filename=$1
Das ist zwar fast das gleiche wie "alles außer php" aber man muss es ja mal probieren...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Habe mal eben zum Test die .htaccess durch den Tester geschickt (http://htaccess.madewithlove.be/)

Dann wird diese url ausgespuckt:
http://www.mcfworld.com/download.php?fi ... /dummy.pdf
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Die neue .htaccess ist hochgeladen, aber das Ergebnis ist das gleiche... :cry:
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

dutch hat geschrieben:Habe mal eben zum Test die .htaccess durch den Tester geschickt (http://htaccess.madewithlove.be/)

Dann wird diese url ausgespuckt:
http://www.mcfworld.com/download.php?fi ... /dummy.pdf
Das Script geht davon aus, dass die .htaccess im root liegt!

Gibst Du nur dummy.jpg ein, dann erhältst Du wie gedacht
/download.php?filename=dummy.jpg

Der Server ignoriert die Anweisungen...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

dutch hat geschrieben:Die neue .htaccess ist hochgeladen, aber das Ergebnis ist das gleiche... :cry:
Sag ich doch, dass das fast das Gleiche ist, aber noch konkreter kann man es ihm (dem Server) kaum beschreiben.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7361
Registriert: 01.01.1970 01:00
Hat sich bedankt: 110 Mal
Danksagung erhalten: 933 Mal
Kontaktdaten:

Beitrag von MarkusR »

Möglicherweise gibt es bei Dir irgendwelche Umleitungen in der Serverkonfiguration, da soll man dann die RewriteBase mit angeben.

Probiere mal

Code: Alles auswählen

RewriteEngine on
RewriteBase /cms/_data
RewriteCond %{REQUEST_URI}  !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]
Und wenn das nicht klappt müssen wir rauskriegen, wo die Dateien wirklich liegen...
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Habe es hochgeladen. Leider auch kein Erfolg.

Der genaue Serverpfad ist wie folgt:
/public_html/mcfworld.com/cms/_data
Antworten