Dateidownload auch ohne Rechte möglich
Dateidownload auch ohne Rechte möglich
Hallo,
habe eben bemerkt, dass Dateien aus geschützten Rubriken auch ohne login geöffnet und heruntergeladen werden können wenn man sich nur den Link zum _data-Verzeichnis gespeichert hat. Wie lässt sich dieses Vehalten verhindern?
habe eben bemerkt, dass Dateien aus geschützten Rubriken auch ohne login geöffnet und heruntergeladen werden können wenn man sich nur den Link zum _data-Verzeichnis gespeichert hat. Wie lässt sich dieses Vehalten verhindern?
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Bei 1&1 funktionieren .htaccess-Dateien normalerweise.
Dies ist z.B. eine 1&1-Seite
http://kft-online.de/_rubric/index.php?rubric=Home
Du siehst beim Aufruf wie auf die WWW-Seite umgeleitet wird (mit genau dem geposteten Umleitungs-Script).
Dies ist z.B. eine 1&1-Seite
http://kft-online.de/_rubric/index.php?rubric=Home
Du siehst beim Aufruf wie auf die WWW-Seite umgeleitet wird (mit genau dem geposteten Umleitungs-Script).
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Du beziehst Dich jetzt vermutlich auf irgendwelche Codes aus einem anderen Thread, die sich wiederum NICHT auf Deinen Webauftritt beziehen, wenn Du sie nicht auf Deinen Webauftritt umgeschrieben hast.
Dein ROOT-Verzeichnis ist bestimmt ein anderes als bei anderen...
Somit hast Du eine fehlerhafte htaccess, die entweder nicht funktioniert oder alles lahmlegt.
Wenn Du die Codes selbsttätig verändert hast, dann solltest Du sie auch HIER posten, damit man über irgendwas reden kann.
Dein ROOT-Verzeichnis ist bestimmt ein anderes als bei anderen...
Somit hast Du eine fehlerhafte htaccess, die entweder nicht funktioniert oder alles lahmlegt.
Wenn Du die Codes selbsttätig verändert hast, dann solltest Du sie auch HIER posten, damit man über irgendwas reden kann.
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Bsp3 wirkt auch nicht (da hatte ich ein Zeichen vergessen)
-------------------------------------------------------------------
Bsp1
RewriteEngine on
RewriteCond %{REQUEST_URI} !\/home\/data\/(.*)\.php
RewriteRule ^\/home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
Bsp2
RewriteEngine on
RewriteRule ^\/home\/_data\/(.*)\.(jpg|gif|png|pdf)$ /home/_data/download.php?filename=$1.$2 [R,L]
Bsp3
RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*)\.php
RewriteRule ^\home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
-------------------------------------------------------------------
Bsp1
RewriteEngine on
RewriteCond %{REQUEST_URI} !\/home\/data\/(.*)\.php
RewriteRule ^\/home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
Bsp2
RewriteEngine on
RewriteRule ^\/home\/_data\/(.*)\.(jpg|gif|png|pdf)$ /home/_data/download.php?filename=$1.$2 [R,L]
Bsp3
RewriteEngine on
RewriteCond %{REQUEST_URI} !(.*)\.php
RewriteRule ^\home\/_data\/(.*)$ /home/_data/download.php?filename=$1 [R,L]
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Ich habe gerade festgestellt, dass ich das Ganze auf einem 1&1 Account entwickelt habe, sollte also durchaus gehen.
Die .htaccess im Verzeichnis _data sollte so aussehen
Das
scheint bei 1&1 wichtig zu sein, sagt zumindest auch deren FAQ.
Die .htaccess im Verzeichnis _data sollte so aussehen
Code: Alles auswählen
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1
Code: Alles auswählen
RewriteBase /home/_data
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Der Witz an mod_rewrite ist ja, dass die URL umgeschrieben wird.
Daher ist es sehr informativ, wenn man einfach das Ergebnis der Umschreibung nennt.
Also z.B. aus
www.meinedomain.de/_data/bild.jpg
wird
www.meinedomain.de/_data/download.php?file=bild.jpg
weil möglicherweise wird ja erfolgreich umgeschrieben, nur stimmt vielleicht was mit dem Pfad nicht.
Und was sind "keine Dateien"?
Sind das Dateien (Bilder, PDFs) aus _data oder alle Dateien, also auch PHP-Dateien und dies überall?
Sorry wenn ich fragen muss, aber ich kann nur mit dem arbeiten, was Du preisgibst.
Übrigens:
Daher ist es sehr informativ, wenn man einfach das Ergebnis der Umschreibung nennt.
Also z.B. aus
www.meinedomain.de/_data/bild.jpg
wird
www.meinedomain.de/_data/download.php?file=bild.jpg
weil möglicherweise wird ja erfolgreich umgeschrieben, nur stimmt vielleicht was mit dem Pfad nicht.
Und was sind "keine Dateien"?
Sind das Dateien (Bilder, PDFs) aus _data oder alle Dateien, also auch PHP-Dateien und dies überall?
Sorry wenn ich fragen muss, aber ich kann nur mit dem arbeiten, was Du preisgibst.
Übrigens:
passiert bei mir auch, wenn ich versuche Bilder über ein zweites Fenster aufzurufen, also wenn das nicht das Fenster ist, in dem auch das Login stattfand (oder dies aus dem Fenster, in dem das Login stattfand, aufgerufen wurde)Alle Bilder werden nur noch durch Platzhalter angezeigt
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
--gemeint waren die downloadbaren Dateien (pdf, doc, gif, ..., keine php)
--alle eingebundenen Pics sind nur durch Platzhalter dargestellt und lassen sich auch durch anklicken nicht vergrößert darstellen
--die .htacces scheint nicht umzuschreiben (ohne download.php), der Pfad bleibt wie er ist, aber richtig (und nur weißem Bildschirm)
--die 3 Varianten der .htacces fürs Rootverzeichnis haben umgelenkt (mit download.php im Pfad), der Effekt war aber der gleiche
Gruß
Stephan
--alle eingebundenen Pics sind nur durch Platzhalter dargestellt und lassen sich auch durch anklicken nicht vergrößert darstellen
--die .htacces scheint nicht umzuschreiben (ohne download.php), der Pfad bleibt wie er ist, aber richtig (und nur weißem Bildschirm)
--die 3 Varianten der .htacces fürs Rootverzeichnis haben umgelenkt (mit download.php im Pfad), der Effekt war aber der gleiche
Gruß
Stephan
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Ergänze noch
zu
damit man das Umschreiben (externes Redirect) auch sehen kann.
Das war in den Testversionen nicht drin...
Code: Alles auswählen
RewriteRule ^(.*)$ download.php?filename=$1
Code: Alles auswählen
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]
Das war in den Testversionen nicht drin...
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
Code (momentan deaktiviert):
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]
anschließend Aufruf des Links für eine Datei in geschlossener Rubrik (zB.):
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
wird zu:
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
Ergebnis:
--weißer Bildschirm / PDF wird nicht angezeigt
--außerdem werden keine Pics/Logos auf der Website angezeigt (außer was direkt über ein Template der automatischen Menüerzeugung kommt)
--dieses Verhalten gilt dann ebenfalls für die offenen Rubriken
Gruß
Stephan
RewriteEngine on
RewriteBase /home/_data
RewriteCond %{REQUEST_URI} !(.*).php
RewriteRule ^(.*)$ download.php?filename=$1 [R,L]
anschließend Aufruf des Links für eine Datei in geschlossener Rubrik (zB.):
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
wird zu:
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
Ergebnis:
--weißer Bildschirm / PDF wird nicht angezeigt
--außerdem werden keine Pics/Logos auf der Website angezeigt (außer was direkt über ein Template der automatischen Menüerzeugung kommt)
--dieses Verhalten gilt dann ebenfalls für die offenen Rubriken
Gruß
Stephan
- MarkusR
- Handbuchversteher
- Beiträge: 7369
- Registriert: 01.01.1970 01:00
- Hat sich bedankt: 112 Mal
- Danksagung erhalten: 936 Mal
- Kontaktdaten:
Super, Umschreiben funktioniert.
Nun könnte es natürlich sein, dass die Dateien, die ausgeliefert werden sollen durch einen Scriptabbruch eine weiße Seite erzeugen.
Hast Du die Version von download.php für PHP5.4 benutzt oder die aus dem ersten Posting?
http://community.conpresso.de/viewtopic ... 8140#28140
Zum Testen der download.php brauchst Du die .htaccess nicht zu aktivieren sondern einfach nur den umgeschrieben Link zu nutzen
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
Nun könnte es natürlich sein, dass die Dateien, die ausgeliefert werden sollen durch einen Scriptabbruch eine weiße Seite erzeugen.
Hast Du die Version von download.php für PHP5.4 benutzt oder die aus dem ersten Posting?
http://community.conpresso.de/viewtopic ... 8140#28140
Zum Testen der download.php brauchst Du die .htaccess nicht zu aktivieren sondern einfach nur den umgeschrieben Link zu nutzen
http://www.schulamt-suedthueringen.de/h ... tdatei.pdf
Ciao Markus
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle
ConPresso-Module
Kein Support per PN!!! Für Fragen und Diskussionen ist das Forum da!
Succi recentis officinalis
Hochwertige Kräutersäfte und -Öle