FrontEndUsers: Direkten Dateizugriff verhindern

[cube1893]

Hallo,

ich habe mit den Modulen FEU, Uploads und CustomContent ein Dateiverwaltungssystem im Frontend aufgesetzt, das hat alles bestens funktioniert. Nur eingeloggte Nutzer können Dateien hochladen, ansehen und herunterladen.
Wenn nun aber die URL einer Datei direkt eingegeben wird, kann man logischerweise die Datei abrufen. Wenn ich das Verzeichnis mit einer htaccess-Datei schütze und jeglichen Zugriff verbiete, werden die Bilder im Frontend ebenfalls nichtmehr angezeigt.

Gibt es eine Möglichkeit, htaccess-Nutzer abhängig von den Benutzernamen und den Passwörtern von FEU-Nutzern zu erstellen? Das wäre die Lösung des Problems. Hat jmd. noch andere Lösungsvorschläge?

Danke und Grüße!

[nicmare]

versuchs mal hiermit ?

[cube1893]

Danke für die Idee, aber das ist leider nicht die Lösung, denn wenn jemand nun den direkten Pfad eingibt, ist der Referrer trotzdem die eigene Domain und das Bild wird angezeigt, unabhängig vom Login.

[NaN]

Danke für die Idee, aber das ist leider nicht die Lösung, denn wenn jemand nun den direkten Pfad eingibt, ist der Referrer trotzdem die eigene Domain und das Bild wird angezeigt, unabhängig vom Login.

So wie ich das verstanden habe sollte genau das eigentlich nicht der Fall sein.
Wenn Du die Adresse direkt in die Adressleiste eingibst, dürfte der Referer "niemand" sein.
Aber abgesehen davon, lässt sich der Referer auch fälschen.

Ich habe mir dazu auch schonmal ein paar andere Gedanken gemacht.
Meine Idee war, anstatt direkt auf eine Datei zu verlinken, wird ein script ausgeführt, welches den Loginstatus prüft.
Dann wird die Datei aus einem Verzeichnis, auf das man keinen öffentlichen Zugriff hat in ein anderes öffentliches Verzeichnis kopiert und dorthin umgeleitet. anschließend wird die Datei aus dem öffentlichen Verzeichnis gelöscht.
Hatte aber noch keine Zeit, das auszuprobieren.

Eine andere Idee wären php Streams. Aber damit kenne ich mich nicht aus. D.h. ich habe keine Ahnung, ob es überhaupt das ist, wofür ich es halte.

Die einfachste aber nicht unbedingt eleganteste Methode wäre, den Zugriff auf die Datei/das Verzeichnis via .htaccess mit einem Passwort zu schützen.

[nicmare]

Danke für die Idee, aber das ist leider nicht die Lösung, denn wenn jemand nun den direkten Pfad eingibt, ist der Referrer trotzdem die eigene Domain und das Bild wird angezeigt, unabhängig vom Login.

einfach ausprobieren. geht ja schnell

[cube1893]

Danke für die Idee, aber das ist leider nicht die Lösung, denn wenn jemand nun den direkten Pfad eingibt, ist der Referrer trotzdem die eigene Domain und das Bild wird angezeigt, unabhängig vom Login.

einfach ausprobieren. geht ja schnell

Ja, habe ich direkt gemacht, funktioniert aber nicht.
Danke NaN für den Ansatz, entweder ich probiere das aus oder lege einen per.htaccess geschützen Bereich an. Ist zwar doppelt aber besser wie ungeschützt... .

[cyberman]

Evtl. hilft dies weiter

http://dev.cmsmadesimple.org/projects/securefile