Schutz vor unberechtigtem Dateizugriff (mod_xfiles)

Fragen zur Implementierung und/oder Anpassung von ConPresso 4 werden in diesem Forum diskutiert.
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Hallo,

alter Thread aber (fast) gleiches Problem.

Ich möchte mal wieder gerne mod_xfiles verwenden, weil es genau das wäre, was ich bräuchte, aber wieder läuft es nicht...

Dieses Mal wird allerdings (im Gegensatz zu meinem letzten Fall) die weiter oben beschriebene Test .htaccess zur Umleitung nach www gelesen und ausgeführt.

Die .htaccess Unterstützung scheint also dieses Mal nicht das Problem zu sein. Die Test .htaccess funktioniert in root und auch im _data Verzeichnis. Nur eben nicht die .htaccess von mod_xfiles.

Ich habe auch schon alle weiter oben beschriebenen Varianten durchgespielt, ohne Erfolg.

Gibt es irgendeinen Weg herauszufinden (testen), warum es nicht geht?

Gruß,
dutch

EDIT:
Mit 'geht nicht' meine ich übrigens, die Bilder werden auf der website gar nicht mehr angezeigt.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

dutch hat geschrieben:EDIT:
Mit 'geht nicht' meine ich übrigens, die Bilder werden auf der website gar nicht mehr angezeigt.
Ich war kurz davor die Frage einzutippen :twisted:
Und das heißt ja nun, dass es geht, d.h. die URL wird umgeschrieben.

Dann kannst Du aber mit Rechtsklick auf das Platzhaltericon (im IE, der FF zeigt nicht mal die) die umgeschriebene URL lesen. Oft sind es dann Tippfehler, Denkfehler, fehlende Sonderzeichen etc.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Danke für den Tipp mit dem IE ;)

Allerdings stimmt die url der Bilder.

Wenn ich im IE dann noch per Rechtsklick sage 'im neuen Fenster öffnen', wird das Bild dort angezeigt, bei reload verschwindet es und bei nochmaligem reload ist es wieder da und bleibt auch bei wiederholten reloads zu sehen...

Runterladen des Bildes klappt auch.

:? :shock:

EDIT:
Nach nochmaligem Test im IE geht das Bild jetzt auch nicht mehr über das neue Fenster auf... auch nicht bei reload.
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Was meinst Du mit "die URL stimmt"?

Wird sie umgeschrieben oder steht im Browser noch die gleiche Adresse?

Wie sieht die htaccess aus?

Ergänze die RewriteRule mal mit [R] oder [R=301]

Wenn das Bild ab und zu erscheint kommt es vielleicht aus dem Cache -> Löschen!
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Mit 'url stimmt' meine ich, dass sie identisch ist mit der, wenn ich keine .htaccess in _data hätte.
Also genau die gleiche Adresse.

Die .htaccess ist:

RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1

Bei Änderung in:
RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1[r]

Keine Veränderung...
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ich war zu unpräzise. Die Parameter MIT Leerschritt

Code: Alles auswählen

RewriteEngine on 
RewriteCond %{REQUEST_URI} !(.*).php 
RewriteRule ^(.*)$ download.php?filename=$1 [R] 
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Leider auch kein Erfolg.

Aber etwas ist jetzt anders:
Wenn ich jetzt im IE versuche 'im neune Fenster zu öffnen' versucht er eine solche Adresse zu öffnen:

Code: Alles auswählen

http://www.domein.nl/var/www/vhosts/domein.nl/httpdocs/cpo/_data/download.php?filename=bild1.jpg
(den Domainnamen habe ich natürlich ersetzt.)

Hilft das weiter??
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Was passiert bei

Code: Alles auswählen

RewriteEngine on 
RewriteCond %{REQUEST_URI} !(.*).php 
RewriteRule ^(.*)$ /download.php?filename=$1 [R]
?
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Immer noch keine Bilder zu sehen.

Aber als Adresse 'im neuen Fenster' zeigt er nun an:

http://www.domein.nl/download.php?filename=bild1.jpg

Ich dachte, dann probiere ich mal:

Code: Alles auswählen

RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ /cpo/_data/download.php?filename=$1 [R]
Und bekomme als Adresse:

Code: Alles auswählen

http://www.domein.nl/cpo/_data/download.php?filename=bild1.jpg
was doch eigentlich gut aussieht.
Nur wird eben immer noch kein Bild angezeigt...
Kann das Problem vielleicht in der download.php stecken?
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Vermutlich hat der Provider das Error-Reporting deaktiviert, daher kriegt man keinen Hinweis auf das mögliche Problem.

Setze mal eine PHP-Datei ins _data-Verzeichnis mit folgendem Inhalt:

Code: Alles auswählen

<?php
define('CPO_BASEDIR', realpath(dirname(__FILE__).'/../').'/');
echo CPO_BASEDIR;
und poste die Ausgabe.

Nur der Vollständigkeit halber: Gibt es "bild1.jpg" ???
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Ja, bild1.jpg gibt es.

und die Augabe der test.php lautet:

Code: Alles auswählen

/var/www/vhosts/domein.nl/httpdocs/cpo/
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Der Pfad stimmt, also müsste download.php auch funktionieren.

Ist bild1.jpg ein Bild dass ausschließlich einer geschlossenen Rubrik zugeordnet wurde und existiert forbidden.png?

Was ist wenn Du ein Bild aufrufst, das ungeschützt ist? z.B. _data/logo.gif
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
dutch
ConPresso-Experte
Beiträge: 547
Registriert: 04.07.2007 17:12
Hat sich bedankt: 27 Mal
Danksagung erhalten: 7 Mal

Beitrag von dutch »

Nein, bild1.jpg ist ein Bild, das in allen Rubriken erlaubt ist und auch nicht in einer geschlossenen verwendet wird.

Alle Bilder, die in _data liegen, sind von der website verschwunden.

forbidden.png funktioniert auch.

Habe eben mehrere Bilder versucht in _data aufzurufen, u.a. auch forbidden.png.

Also etwa so:

Code: Alles auswählen

http://www.domein.nl/cpo/_data/forbidden.png
dann wird daraus sofort:

Code: Alles auswählen

http://www.domein.nl/cpo/_data/download.php?filename=forbidden.png
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Dass das Umschreiben funktioniert wissen wir ja.

Lass Dir das Error-Reporting einschalten oder schaue ins Error-Log oder suche Dir einen Provider bei dem sowas einfach funktioniert.
Oder lasse Deinen Provider Zeile für Zeile debuggen damit man sieht an welcher Stelle ein Fehler passiert.
Vielleicht hast Du auch eine Rechteproblem aber leider werden auch diese Fehlermeldungen unterdrückt.
Fehlermeldungen zu unterdrücken ist eben ziemlich paranoid und für Webmaster wenig hilfreich.
Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Benutzeravatar
MarkusR
Handbuchversteher
Beiträge: 7362
Registriert: 01.01.1970 01:00
Hat sich bedankt: 111 Mal
Danksagung erhalten: 934 Mal
Kontaktdaten:

Beitrag von MarkusR »

Ciao Markus
ConPresso-Module

Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!

Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Antworten