Wie schütze ich meine Verzeichnisse am besten??
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
analyse
beitrag
datei
dateiname
eigentliches login
eingabe
erlaubnis
formular
klappe
korrekten daten
login
mechanismus
paar varianten
pawort
pech
session
shop
verzeichnis
wahnsinn
wahrscheinlichkeit
-
hi @ all
habe eine spezielle frage an alle sicherheitsexperten unter uns ;)
an meinem neuen projekt wird es eine art online shop geben, wo man sich analysen als pdf kaufen kann, diese "liegen" dann am webspace, allerdings soll ja nicht jeder darauf zugreifen k?nnen, sondern nur derjenige der auch daf?r bezahlt hat!! soweit so gut.
ich hab ja auch schon von ein paar varianten geh?rt, wie index.* in den ordner, oder per http oder per php, nur wei? ich jetzt nicht was am sinnvollsten und am besten zu realisieren ist??
.htaccess w?r nat?rlich auch eine m?glichkeit!!
nun ja was w?r am sinnvollsten? - und wie realisiere ich die ganze geschichte dann??
danke im voraus
mfg
Pointi|.i -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
also .htaccess w?r am sichersten doch ist leider auf diesem server nich erlaubt, warum auch immer
// edit by H2O:
Solche Kurzpostings, die sowieso nix bringen bitte unterlassen.
Beitrag ge?ndert am 12.09.2005 19:47 von h2o -
ka wei? ich nicht frag doch mal nen admin der wei? das sicher
...wahnsinn auf solch sinnvolle postings hab ich gewartet...
madhouse schrieb:
also .htaccess w?r am sichersten doch ist leider auf diesem server nich erlaubt, warum auch immer
das ganze projekt wird sowieso auf einem anderen host platziert, wo nat?rlich htaccess erlaubt ist!
aber wie funzt dass, das verzeichnis, sollte praktisch gesperrt sein! -
Lieber pointi,
Ich glaube, dass auch du Google kennst, oder?
http://de.selfhtml.org/servercgi/server/htaccess.htm
Mit PHP ist das nat?rlich auch zu realisieren.
Dann sollte man die PDF Dateien aber mit PHP dynamisch generieren lassen, denn dann kann man evlt. Missbrauch ausschlie?en.
Aber das w?re dann ein wenig umfangreicher, als die M?glichkeit es mit .htaccess zu machen.
MfG Lucas -
Wenn die dateien net so gro? sind, kannste sie ihm ja auch per e-mail schicken. Das ist dann auch leichter umzusetzen (mit php).
-
Wenn die dateien net so gro? sind, kannste sie ihm ja auch per e-mail schicken. Das ist dann auch leichter umzusetzen (mit php).
hm naja die dateien werden schon auf ein paar MB kommen!!
sneppa schrieb:
.htcss oder wie das hei?t is im endefekt schon sinvoll.. aber der das gekauft hat kann den link ja weiterschicken.. ich w?rde htcss (oder wie) Nehmen und dazu einen link immer generieren lassen der 24h haltbar ist! Und wenn die 24stunden weg sind hat er halt pech! Oder cookis oder session.. hm..
ja das mit dem weiterschicken kann man ned verhindern, is ja so wie wenn du ein PC spiel oder film weiterverleihst!!
der dateiname ist verschl?sselt, nur halt immer gleich, da mehrere user ja auf die datei zugreifen m?ssen!!
und er soll sich das ganze auch l?nger als 24h ansehen k?nnen!! - er hat es gekauft!! also darf er es auch behalten ;)
-
Apropos .htaccess:
Ich versuche derzeit einen passwortgesch?tzen Bereich anzulegen und habe mich durch ein paar Tut gelesen, aber klappen will das Ganze mal wieder nicht *g*
Ich bekomme zwar das Login-Formular, allerdings schleust mich die Seite nicht weiter, sondern auch nach Eingabe der korrekten Daten kommt das Login-Feld/-PopUp wieder...
K?nnte das eventuell an meinem Host liegen? Denn ich habe nur einen Teil des Servers (quasi zur Untermiete ^_^) und bin nicht sicher, ob .htaccess gesondert freigeschaltet werden m?sste ...
Ich hoffe, ihr helft mir (mal wieder) aus der Klemme ^^"""" -
@blackangel-:
Ich bekomme zwar das Login-Formular, allerdings schleust mich die Seite nicht weiter, sondern auch nach Eingabe der korrekten Daten kommt das Login-Feld/-PopUp wieder...
Mit gro?er Wahrscheinlichkeit findet der Server die .htpasswords-Datei nicht, weil du den Pfad nicht korrekt angegeben hast. Der Pfad muss absolut sein, also alles vom ersten "/" an bis zur .htpasswords-Datei.
@pointi
Mist, ich sollte nat?rlich auch auf die Ursprungsfrage antworten!-.-
.htaccess ist eine schlechte L?sung, wenn es darum geht, Dateien sicher zu verwahren. Wenn du sowieso nicht auf Lima-Space hostest, dann speichere die PDF-Dateien in ein Verzeichnis, das oberhalb des WWW_ROOT liegt. Darauf hat dann niemand von au?en Zugriff. Um die Dateien ausliefern zu k?nnen musst du sie nur ?ber ein PHP-Script leiten (mit readfile()). Das PHP-Script kann dann gleichzeitig die Abrfrage ?bernehmen, ob der User zum Download berechtigt ist.
MfG
alopex
Beitrag ge?ndert am 29.11.2005 00:29 von alopex -
Der Pfad lautet:
var/www/web13/html/Verzeichnis/.htaccess
wobei die .htaccess auch wirklich im entsprechenden Verzeichnis liegt und ich direkt auf die dort befindlichen Dateien zugreifen m?chte... oder muss der Pfad noch wieder anders lauten (ist doch der absolute, oder?)
/EDIT/
.htpasswd liegt im selben Verzeichnis und .htaccess ist auch dorthin "verlinkt" ^^
Beitrag ge?ndert am 29.11.2005 00:29 von blackangel- -
?hm, ein absoluter Pfad unter Unix f?ngt meiner bescheidenen Meinung nach immer mit einem Slash "/" an. M?sste dir dein Web-Meister eigentlich nennen k?nnen. Ansonsten kannst du ja auch mal in PHP echo $_SERVER['DOCUMENT_ROOT'] schreiben und dir die Ausgabe anschauen. Dann siehst du, wie der Pfad anfangen muss.
Ich hab schon lange nicht mehr mit HTTP-Authentifizierung hantiert, da sind meine Erinnerungen etwas l?ckenhaft. -
arrrgggghhh >_<
Den slash hatte ich vergessen ... das root-verz. ist nach Angabe des Servers wirklich
/var/www/web13/html/Verzeichnis/.htaccess
Aber funzen tut es auch mit slash nicht -.- -
Und dann w?re da noch das Problem mit der Passwort-Verschl?sselung. Auf Unix-Systemen wird daf?r normalerweise nicht MD5 verwendet (und auch kein Klartext), sondern die Passw?rter werden mit einem Tool namens "crypt" verschl?sselt. Ich glaube funpic bietet sowas als Online-Tool an.
Wenn das auch nicht hilft, gehen mir langsam die Ideen aus.
-
Hmmm, mit der Seite http://www.gulli.com/tools/krypto-passwort/htaccess/
hat es jetzt komischerweise funktioniert O.O *wunder* Ich denke, dass es dann echt was mit der Verschl?sselung zu tun gehabt hat, wei? aber nicht wirklich, was genau da jetzt falsch war ^^"""" -
Wird wohl das falsche Verschl?sselungsverfahren gewesen sein.
Es gibt noch was Wichtiges zur HTTP-Authentifizierung (also mit .htaccess) zu sagen:
Wenn der Browser einmal ein g?ltiges Passwort geschickt hat, und vom Server die "Erlaubnis" bekommen hat, auf die gesch?tzten Verzeichnisse oder Dateien zuzugreifen, kann man die "Session" nicht einfach wieder beenden. Es gibt also keinen Logout-Mechanismus! Dazu muss der Browser geschlossen und neu gestartet werden. Das ist wichtig, wenn man beispielsweise in einem Internet-Caf? oder an der Schule im Computerraum so eine Website besucht. Wenn man den Browser nicht schlie?t, hat der n?chste Benutzer vollen Zugriff auf die sonst gesperrten Daten. Also immer den Browser beenden, wenn mehrere Menschen den Computer benutzen k?nnen.
Beitrag ge?ndert am 29.11.2005 01:15 von alopex -
Danke f?r den Hinweis ... das hat mich gestern Abend auch noch interessiert, danach bin ich aber gleich in die Falle geh?pft *g*
Die .htaccess-L?sung ist eigentlich nur eine Notl?sung, weil mein eigentliches Login-Script nicht mehr geht -.- (Da werde ich auch immer wieder zum Login zur?ckgeschubst ^^"""""). Da ich (wie bekannt) ja nicht wirklich PHP kann, konnte ich den Fehler nach einiger Fummelarbeit leider immer noch nicht aufsp?ren -.-
Ich werde meine Webbies aber nochmal gezielt darauf hinweisen^^ *anflausch* -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
