Bilder nur von webseite erreichbar machen wie?
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
ausgeben
beispiel
bild
code
datei
datenbank
einsehen
erreichen
glauben
hacken
holen
http
image
ordner
problem
sagen
speichern
text
url
zugriff
-
Hi,
ich habe auf meiner webseite ein login, wo sich jeder anmelden kann.
Nach der anmeldung kann jeder user ein bilderalbung erstehlen und bilder hochladen. so jetzt hab ich es sogemacht das jeder user einstehlen kann das seine bilder nur seinen freunden gezeigt werden. das funktionirt auch soweit. mein prob is mann kann die bilder immer noch perr bildadresse erreichen kann man das ihrgentwie schützen? wenn ja wie?
LG -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
Da musst du im Endeffekt mit Sessions arbeiten. Damit prüfst du ab, ob der User das Bild sehen darf oder nicht, ansonsten gibst du eine Fehlermeldung aus.
http://tut.php-q.net/de/sessions.html
PSEUDOCODE:
Wenn User Bild sehen darf(über Session-Variable) => Gebe Bild aus Wenn nicht =>Gebe eine Meldung aus.
Beitrag zuletzt geändert: 3.8.2009 14:37:25 von karpfen -
Es ist nicht ganz trivial.
Aber, ein Ansatz:
Du speicherst die Bilder in einem Ordner, den man nicht durch logisches Denken herausbekommt.
Zum Beispiel: images/21489h9f32nhd23rtndbjklsahd38924630981234nfsajklnesagfd/Bild.jpg
Auf ein Bild greifst du aber via images/Bild.jpg zu.
Da es dieses Bild natürlich nicht gibt, musst du mit mod_rewrite arbeiten. Damit leitest du die Anfrage zum Beispiel auf imges/showimg.php?imgName=Bild&type=jpg um.
In dieser Datei prüfst du ob derjenige ein Freund ist. Wenn nicht, dann gibst du einfach einen Text aus, dass man keinen Zugriff besäße. Wenn man die Rechte hat, dann lieferst du das Bild mit nötigem Mimetype aus (beispielsweise kannst du die GD zum Ausgeben nutzen. Also Bild einlesen und dann gleich ausgeben).
Wenn du Hilfe brauchst oder was nicht klar ist, sag Bescheid. -
Geht viel einfacher. Du überprüfst einfach, ob der Referer von deiner Seite kommt und erlaubst nur dann den Zugriff auf das Bild, wenn dieser gültig ist. Der Benutzer ist dann gezwungen über deine Seite (also den Code, den du selbst zur Verfügung stellst) das Bild anzuschauen. Dann musst du natürlich nur noch deine Seite an sich von Bugs freihalten. Fertig.
Liebe Grüße
- VampireSilence -
sieh dir das mal an.
wenn mich nicht alles täuscht sollte das die lösung + der vorhergehende vorschlag sein.
http://net.tutsplus.com/tutorials/other/5-fun-and-practical-htaccess-solutions/ -
Doie Referrer-Variante ist ungeeignet. Sie verhindert nicht, dass Aussenstehende das Bild einsehen, sondern sie erschwert es nur (denn der Referrer wird client-seitig gesetzt, ist damit kein hinreichendes Sicherheitsmittel).
Die imho beste Möglichkeit ist, was nikic vorgeschlagen hat (was quasi eine okmpliziertere Umsetzung von karpfens Vorschlag ist). wirkt zwar kompliziert, aber verknüpft auf jeden Fall Sicherheit mit Transparenz (nach aussen hin merkt man dabei nichts von den Sicherungsmechanismen). -
merovius schrieb:
Doie Referrer-Variante ist ungeeignet. Sie verhindert nicht, dass Aussenstehende das Bild einsehen, sondern sie erschwert es nur (denn der Referrer wird client-seitig gesetzt, ist damit kein hinreichendes Sicherheitsmittel).
Also wenn man nen Referrer fälschen kann, wird man auch keine Probleme haben ne BruteForce anzusetzen und sich einfach das Passwort des Users zu holen. Hacken kann man immer, also bleibt es sich gleich.
Liebe Grüße
- VampireSilence -
die bilder kann man doch auch in der db speichern, oder?
wäre denke ich am leichtesten! -
vampiresilence schrieb:
merovius schrieb:
Doie Referrer-Variante ist ungeeignet. Sie verhindert nicht, dass Aussenstehende das Bild einsehen, sondern sie erschwert es nur (denn der Referrer wird client-seitig gesetzt, ist damit kein hinreichendes Sicherheitsmittel).
Also wenn man nen Referrer fälschen kann, wird man auch keine Probleme haben ne BruteForce anzusetzen und sich einfach das Passwort des Users zu holen. Hacken kann man immer, also bleibt es sich gleich.
Liebe Grüße
- VampireSilence
Naja, ich möchte gerne sehen, wie du einen, sagen wir mal 30 Zeichen langen, zufallsgenerierten Text mit BruteForce knackst... Und im Zweifelsfall geht auch immer mehr.
Das das fälschen eines Refferers ein Ding der Unmöglichkeit ist, würde ich nicht sagen. Auch wenn man das in Firefox nur mit about:config hinbekommen sollte, in anderen Browsern ist diese Möglichkeit glaube ich auch normalen Usern gegeben (Opera, oder irr ich mich mal wieder?)
visualwebzone schrieb: die bilder kann man doch auch in der db speichern, oder?
wäre denke ich am leichtesten!
Jop. Aber ob du die Bilder nun in einer Datenbank speicherst oder in einem Ordner ist eigentlich egal. Ich glaube nur, dass Datenbank in diesem Fall langsamer ist. Die meisten Systeme unterstützen zwar das Speichern großer Datenmengen, aber ich bin mir nicht sicher, wie schnell das ist... -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
