ConPresso Community

Fragen, Antworten, Diskussionen rund um das Content Management System ConPresso

 
Dateidownload auch ohne Rechte möglich
Gehe zu Seite 1, 2  Weiter
 
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Installation ConPresso 4
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 28.04.2015 08:11    Titel: Dateidownload auch ohne Rechte möglich Antworten mit Zitat

Hallo,
habe eben bemerkt, dass Dateien aus geschützten Rubriken auch ohne login geöffnet und heruntergeladen werden können wenn man sich nur den Link zum _data-Verzeichnis gespeichert hat. Wie lässt sich dieses Vehalten verhindern?
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 28.04.2015 09:57    Titel: Antworten mit Zitat

Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 28.04.2015 11:34    Titel: Antworten mit Zitat

Funtioniert leider nicht - dann wird gar keine Datei mehr gefunden Error:404 - Not found! Wir nutzen Compresso 4.1.2 / PHP 5.4 bei 1&1
Wahrscheinlich wird die .htacces nicht gelesen - die Prüfversion mit Umlenkung auf die www-Seite geht ebenfalls nicht.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 28.04.2015 11:53    Titel: Antworten mit Zitat

Bei 1&1 funktionieren .htaccess-Dateien normalerweise.

Dies ist z.B. eine 1&1-Seite
http://kft-online.de/_rubric/index.php?rubric=Home

Du siehst beim Aufruf wie auf die WWW-Seite umgeleitet wird (mit genau dem geposteten Umleitungs-Script).

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 28.04.2015 12:31    Titel: Antworten mit Zitat

... gut - das Umleitungsscript funktioniert ...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 28.04.2015 13:12    Titel: Antworten mit Zitat

Ergebnis der 3 .htaccess-Versionen fürs Root-Verzeichnis:
die ersten beiden wirken nicht
die letzte sperrt alles, auch freie Pics und Dateien mit und ohne Anmeldung
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 28.04.2015 13:38    Titel: Antworten mit Zitat

Du beziehst Dich jetzt vermutlich auf irgendwelche Codes aus einem anderen Thread, die sich wiederum NICHT auf Deinen Webauftritt beziehen, wenn Du sie nicht auf Deinen Webauftritt umgeschrieben hast.
Dein ROOT-Verzeichnis ist bestimmt ein anderes als bei anderen...
Somit hast Du eine fehlerhafte htaccess, die entweder nicht funktioniert oder alles lahmlegt.

Wenn Du die Codes selbsttätig verändert hast, dann solltest Du sie auch HIER posten, damit man über irgendwas reden kann.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 28.04.2015 14:18    Titel: Antworten mit Zitat

Bsp3 wirkt auch nicht (da hatte ich ein Zeichen vergessen)
-------------------------------------------------------------------


Bsp1

RewriteEngine on
RewriteCond %{REQUEST_URI} !\/home\/data\/(.*)\.php
RewriteRule ^\/home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]

Bsp2

RewriteEngine on
RewriteRule ^\/home\/_data\/(.*)\.(jpg|gif|png|pdf)$ /home/_data/download.php?filename=$1.$2 [R,L]

Bsp3

RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*)\.php
RewriteRule ^\home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 28.04.2015 16:52    Titel: Antworten mit Zitat

Ich habe gerade festgestellt, dass ich das Ganze auf einem 1&1 Account entwickelt habe, sollte also durchaus gehen.

Die .htaccess im Verzeichnis _data sollte so aussehen
Code:
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI}  !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1


Das
Code:
RewriteBase /home/_data

scheint bei 1&1 wichtig zu sein, sagt zumindest auch deren FAQ.

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 29.04.2015 06:26    Titel: Antworten mit Zitat

Mit letzterem Code:
Alle Bilder werden nur noch durch Platzhalter angezeigt
Es lassen sich keine Dateien mehr öffnen (weißer Bildschirm) ... egal, ob angemeldet oder nicht

Gruß
STephan
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 29.04.2015 07:21    Titel: Antworten mit Zitat

Der Witz an mod_rewrite ist ja, dass die URL umgeschrieben wird.
Daher ist es sehr informativ, wenn man einfach das Ergebnis der Umschreibung nennt.
Also z.B. aus
www.meinedomain.de/_data/bild.jpg
wird
www.meinedomain.de/_data/download.php?file=bild.jpg
weil möglicherweise wird ja erfolgreich umgeschrieben, nur stimmt vielleicht was mit dem Pfad nicht.

Und was sind "keine Dateien"?
Sind das Dateien (Bilder, PDFs) aus _data oder alle Dateien, also auch PHP-Dateien und dies überall?

Sorry wenn ich fragen muss, aber ich kann nur mit dem arbeiten, was Du preisgibst.

Übrigens:
Zitat:
Alle Bilder werden nur noch durch Platzhalter angezeigt

passiert bei mir auch, wenn ich versuche Bilder über ein zweites Fenster aufzurufen, also wenn das nicht das Fenster ist, in dem auch das Login stattfand (oder dies aus dem Fenster, in dem das Login stattfand, aufgerufen wurde)

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 29.04.2015 08:08    Titel: Antworten mit Zitat

--gemeint waren die downloadbaren Dateien (pdf, doc, gif, ..., keine php)
--alle eingebundenen Pics sind nur durch Platzhalter dargestellt und lassen sich auch durch anklicken nicht vergrößert darstellen
--die .htacces scheint nicht umzuschreiben (ohne download.php), der Pfad bleibt wie er ist, aber richtig (und nur weißem Bildschirm)
--die 3 Varianten der .htacces fürs Rootverzeichnis haben umgelenkt (mit download.php im Pfad), der Effekt war aber der gleiche

Gruß
Stephan
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 29.04.2015 09:57    Titel: Antworten mit Zitat

Ergänze noch
Code:
RewriteRule ^(.*)$ download.php?filename=$1

zu
Code:
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]

damit man das Umschreiben (externes Redirect) auch sehen kann.

Das war in den Testversionen nicht drin...

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
SK2010
ConPresso-User


Anmeldungsdatum: 06.06.2010
Beiträge: 51

BeitragVerfasst am: 29.04.2015 14:38    Titel: Antworten mit Zitat

Code (momentan deaktiviert):
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]


anschließend Aufruf des Links für eine Datei in geschlossener Rubrik (zB.):
http://www.schulamt-suedthueringen.de/home/_data/testdatei.pdf

wird zu:
http://www.schulamt-suedthueringen.de/home/_data/download.php?filename=testdatei.pdf

Ergebnis:
--weißer Bildschirm / PDF wird nicht angezeigt
--außerdem werden keine Pics/Logos auf der Website angezeigt (außer was direkt über ein Template der automatischen Menüerzeugung kommt)
--dieses Verhalten gilt dann ebenfalls für die offenen Rubriken

Gruß
Stephan
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
MarkusR
Handbuchversteher


Anmeldungsdatum: 01.01.1970
Beiträge: 7023

BeitragVerfasst am: 29.04.2015 16:13    Titel: Antworten mit Zitat

Super, Umschreiben funktioniert.

Nun könnte es natürlich sein, dass die Dateien, die ausgeliefert werden sollen durch einen Scriptabbruch eine weiße Seite erzeugen.

Hast Du die Version von download.php für PHP5.4 benutzt oder die aus dem ersten Posting?
http://community.conpresso.de/viewtopic.php?p=28140#28140

Zum Testen der download.php brauchst Du die .htaccess nicht zu aktivieren sondern einfach nur den umgeschrieben Link zu nutzen
http://www.schulamt-suedthueringen.de/home/_data/download.php?filename=testdatei.pdf

_________________
Ciao Markus
ConPresso-Module
ConPresso und PHP 7
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Beiträge der letzten Zeit anzeigen:   
Neue Antwort erstellen    ConPresso Community Foren-Übersicht -> Installation ConPresso 4 Alle Zeiten sind GMT + 1 Stunde
Gehe zu Seite 1, 2  Weiter
Seite 1 von 2

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.
Du kannst Dateien in diesem Forum nicht posten
Du kannst Dateien in diesem Forum herunterladen