Seite 2 von 2
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 30. Jan 2013, 14:56
von Markus.Lorch
Dachte wenn s nicht in der ungeschützt-Liste mitaufgeführt wird = geschützt?
Ja und Nein. Dann ist ein Schutz überhaupt möglich.
Jede Datei
kann prinzipiell geschützt werden solange deren Dateiendung nicht in der Liste mit den ungeschützten Dateieendungen steht (reines perfomance tuning). Wenn eine Dateiendung bei den ungeschützten eingetragen ist sind alle Einstellungen unwirksam - eine solche Datei lässt sich nicht schützen.
Alle anderen Dateien sind nur dann geschützt, wenn dies im Medienpool bei der Datei auch so eingestellt wurde.
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 19. Mär 2013, 19:18
von Tito
Mal eine vielleicht etwas naive Frage dazu ...
Ich habe bei einer Seite mal folgenden Schutz des /files-Ordners eingebaut, um die Dateien vor direktem Browseraufruf zu schützen:
Code: Alles auswählen
RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(www\.)?meine-domain.de/ [NC]
RewriteRule ^.*$ http://www.meine-domain.de [L]
Dies bewirkt, das alle Aufrufe auf die Startseite umgeleitet werden wenn sie nicht vom meiner Webseite kommen. So simpel wie effektiv finde ich.
Gibt es einen Grund, warum man so etwas nicht machen sollte?
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 19. Mär 2013, 20:31
von Markus.Lorch
Einen wirklich schlüssigen Grund das zu tun gibt es halt nicht. Und ich glaub auch nicht, dass man sich damit nen großen Gefallen macht.
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 19. Mär 2013, 21:19
von Tito
Aber wieso tut man sich damit keinen Gefallen? (interessiert mich halt)
Die Idee war halt folgende: wird eine Datei aus dem files-Ordner aufgerufen soll sie nur dann angezeigt werden, wenn der Aufruf von der Webseite selbst kommt. Dateien aus Login geschützen Bereichen können somit auch nur aus diesen selbst heraus aufgerufen werden. Ein extra Schutz erübrigt sich also. Und ich denke nicht, dass das auslesen des Referers viel Zeit und Rechenleistung beansprucht. Aber ich lasse mich da gerne eines besseren belehren (bin ja kein htaccess-Experte).
Zugegeben, das ist eine recht "breite" Absicherung ... ist fast so, also wolle man mit einer Schaufel eine Mücke erschlagen wollen. Für einfache Seiten (wie die damals von mir gebaute) aber recht effektiv.
Nicht falsch verstehen, ich habe schon lange auf so ein tolles Plugin wie deines gewartet und werde es bei zukünftigen Seiten bestimmt exzessiv einsetzen, denn ein fein eingestellter Schutz für einzelne Dateien ist mehr als nur eine feine Sache
Mich interessiert nur, ob es einen triftigen Grund gibt, die alte Lösung über Bord zu werfen und auf dein Plugin umzustellen (was bei dieser Seite eigentlich zu viel Arbeit wäre wenn nicht unbedingt nötig).
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 19. Mär 2013, 21:30
von Markus.Lorch
Ein ernsten Schutz hast du so halt nicht. Zugegeben ist das ne Schikane - aber es hindert nicht daran einfach den richtigen Referer zu senden. Der Referer ist ja nichts unverfälschliches (im Gegenteil). Dazu kommt, dass manch ein Browser gar keinen Referer sendet und du sogar False-Positives hast.
Aber zurück zu deiner Frage: Wenn das so für dich "Sicher" genug ist, dann lass es doch. Ist immer davon abhänig was du eigentlich damit vor hast und wie wichtig der Schutz tatsächlich ist.
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 20. Mär 2013, 00:48
von RexDude
Dies bewirkt, das alle Aufrufe auf die Startseite umgeleitet werden wenn sie nicht vom meiner Webseite kommen. So simpel wie effektiv finde ich.
ob das seo technisch so optimal ist? google greift ja da auch auf die bilder zu in dem ordner und wird dann jedesmal umgeleitet auf eine html datei...
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 20. Mär 2013, 12:06
von Tito
Naja, mir ist egal, ob Google meine Bilder Indexiert, finde es sogar besser wenn die nicht alle bei Google auftauchen. Im Quelltext einer Seite werden ja Alt- und Title-Tag indexiert, was mir viel wichtiger ist.
Ich denke, dass meine Methode mit der Referer-Abfrage funktioniert, aber halt nur eingeschränkt. Gerade wenn man die von Markus angesprochenen Sicherheitsprobleme bedenkt!
Das MediaAccess Plugin sollte auf jeden Fall die erste Wahl sein, wenn es um den Downloadschutz in einer neueren Redaxoinstallation geht. Ich werde es bei Gelegenheit mit Freude ausführlich testen
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 9. Aug 2013, 10:55
von darwin
Hallo Markus,
bin mir nicht sicher obs am mediaaccess oder an der auth liegt.
Ich hab 2mal das community + mediaccess im Einsatz. beide Seite sind
identisch bis auf die PHP Version:
- 5.3.20 (hier funzt es)
- 5.4.6 (hier funzt es nicht)
beides mit Community 2.9.1 (MediaAcces 1.5), RexSeo 1.5.3
Problem.. auf dem PHP 5.4.6 Server wird eine PDF-Datei geschützt.
Beim Klick auf dem Link zur PDF wird jedoch plötzlich umgeleitet...
auf dieser Seite befindet sich der Link zum PDF:
"sicherer-bereich/jahrgang-2013-2016.html"
Klick man auf den link wird plötzlich auf die Fehlerseite ("Sprung zu diesem Artikel wenn auf gesperrtem Artikel zugriffen wird") umgeleitet... Auch die URL wird umgeschrieben:
"71-0-Sicherer-Bereich.html?rex_com_auth_ref=%252F%253Ffile%253Ddas_pdffff.pdf"
*strange* .. vorallem weil es 2 identische Installs sind.. bis auf die PHP-Version.
Kann mir bitte jemand kurz dabei helfen.
DANKE schonmal.
grz. Chris
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 12. Aug 2013, 14:01
von Markus.Lorch
Besteht das Problem noch? (war etwas schwer zu erreichen).
Verstehe das Problem nicht so ganz. Oder soll die PDF Datei gar nicht geschützt sein?
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 13:55
von darwin
Hallo Markus,
ja das Problem war dann weg.
Jetzt gibts Probleme in Kombi mit community -> SEO42.
Da werden die Bilder nicht mehr angezeigt sobald das PlugIn: mediaaccess
installiert und aktiviert ist. Bin mir nicht sicher,
aber es könnte an der /files/.htaccess
liegen (da hakts bei mir leider)
SEO42 liefert folgende bild-url:
/files/imagetypes/desktop_125/meine_bild_datei.jpg
in der mediaaccess Datei : files/.htaccess
steht folgendes:
Code: Alles auswählen
RewriteEngine On
RewriteBase /
### DO NOT REMOVE THE FOLLOWING "MEDIACCESS" DELIMITERS!
### MEDIAACCESS
RewriteCond %{HTTPS} off
RewriteCond %{REQUEST_URI} !files/.*/.*
RewriteCond %{REQUEST_URI} !files/(.*).(jpeg|jpg|png|gif|ico|css|js|swf)$
RewriteRule ^(.*)$ http://%{HTTP_HOST}/?file=$1 [R=301,L]
RewriteCond %{HTTPS} on
RewriteCond %{REQUEST_URI} !files/.*/.*
RewriteCond %{REQUEST_URI} !files/(.*).(jpeg|jpg|png|gif|ico|css|js|swf)$
RewriteRule ^(.*)$ https://%{HTTP_HOST}/?file=$1 [R=301,L]
### /MEDIAACCESS
Kann es sein, das hier evtl der Fehler drin steckt?
Sry. Danke schomal. Grz. Chris
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 14:21
von RexDude
Ich vermute mal das diese Rewrite Rule überschrieben wird von denen aus der files/.htaccess.
https://github.com/RexDude/seo42/blob/m ... ss#L26-L27
Es gab da auch vor kurzem einen Thread wo das Problem aufkam, kann ihn aber grad nicht finden.
Notlösung: Das hier abschalten:
https://github.com/RexDude/seo42/blob/m ... hp#L55-L56
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 14:34
von Markus.Lorch
Ohne das jetzt getestet zu haben klingt das Plausibel. Wenns daran liegt müsst ich mal mit RexDude drüber sprechen wie wir das lösen.
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 14:49
von darwin
das ist doch n deal
...
Danke. grz. Chris
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 15:56
von Markus.Lorch
Hast du das schon probiert? Liegt es daran?
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 16:02
von darwin
Also die Notlösung habe ich probiert.
Daran liegts.. d.h. wen man bei SEO42:
Code: Alles auswählen
$REX['ADDON']['seo42']['settings']['seo_friendly_image_manager_urls'] = false;
setzt, sind die Bilder da.
url ist dann (wieder)
Code: Alles auswählen
index.php?rex_img_type=desktop_125&rex_img_file=mein_bild.jpg
grz. Chris
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 16. Jan 2014, 21:37
von RexDude
Können uns gerne austauschen darüber Markus
Ich bin allerdings nicht der grosse Checker was RewriteRules und RegEx angeht...
Re: Neu: MediaAccess Plugin [Community] - Downloadschutz
Verfasst: 15. Mai 2016, 03:17
von cyberfreddy
Hallo!
Ich habe ein doofes Problem festgestellt. Ich habe hier die neuste Redaxo 4er Version mit dem aktuellsten Community Addon für 4 und auth_media.
Auf den ersten Blick läuft alles super. Dann habe ich folgendes getestet:
Wie gewünscht ist die Datei:
domain.tld/files/test.pdf
geschützt. Und kann nicht direkt heruntergeladen werden.
Durch Zufall habe ich mal einen Slash zu viel eingegeben:
domain.tld//files//test.pdf
uns schwupp ist die Datei ohne authentifizierter User zu sein einfach downloadbar.
Könnt ihr das auch so reproduzieren? Ich weiß nicht, wie ich die .htaccess Zeile anpassen müsste, um diesen Fehler auszuschließen.
Herzliche Grüße
Nils