Vanilla 1.1.2 Forum von Lussumo. Weitere Informationen: Dokumentation, Community.

MODx Evolution (Versionen 0.9x -> 1.x) allgemein: Webnutzer Bereich

Ende der Seite

1 bis 10 von 10

  1.  
    • CommentAuthorChabatta
    • CommentTime29.07.2010
     permalink
    Hallo zusammen,

    ich hab nun einen Webnutzerbereich mit Dokumentgruppen u.s.w erstellt, klappt auch alles wunderbar. Wenn der Benutzer nicht angemeldet ist, kann die Seite aus diesem Bereich nicht aufgerufen werden... ok soweit.

    Diese Passwortgeschützten Dokumente/Ressourcen enthalten diverse Dokumente zum Download. Leider kann man die aufrufen wenn man den Pfad kennt - wie kann man das mit Modx verhindern?

    Vielen Dank für euere Hilde.

    Grüßle
    Stefan
    •  
      CommentAuthorMarc
    • CommentTime29.07.2010
     permalink
    • CommentAuthorChabatta
    • CommentTime30.07.2010
     permalink
    Hello Marc, Du hast mein Tag versüßt!! ;-) Herzlichen Dank dafür.
    • CommentAuthorChabatta
    • CommentTime30.07.2010 bearbeitet
     permalink
    Hallo Marc,

    ich glaub ich habe mich zu früh gefreut...
    Hast Du damit schon mal gearbeitet? Vielleicht versteh ich es einfach auch nicht...

    Also, ich habe das Snippet FileDownload wie beschrieben installiert
    Das Verzeichnis wird auch abgebildet und der Counter zählt.

    Soweit in Ordnung.

    Danach habe ich das Plugin FileDownloadPlugin installiert.
    Den Pfad angegeben wo die Files liegen, das klappt soweit auch.

    Allerdings kann ich nur per "Speichern unter" das File downloaden, nicht aber wenn ich direkt auf den Link klicke - vielleicht hängt das noch mit den Friendly URLs zusammen?

    Wenn ich nun nicht als Webnutzer angemeldet bin und trotdem versuche die Datei aufzurufen klappt das leider auch.
    http://www.domain.de/assets/files/secure/test.zip

    Kann man das überhaupt verhindern?

    Danke für Deine/Euere Hilfe.

    Gruss
    Stefan
    • CommentAuthorHatori
    • CommentTime30.07.2010
     permalink
    Wenn ich einen Pfad kenne, kann ich alles runterladen, was ich will. Du müsstest eine .htaccess in das Verzeichnis legen, allerdings weiß ich nicht, inwieweit die sich dann mit dem Login beißt.
    Man müsste zunächst abfragen, ob der User eingeloggt und berechtigt ist, die Datei zu laden. Im zweiten Schritt wird dann von einem Script der Benutzer und das Passwort, welches die .htaccess befriedigt, geschickt. Versucht nun jemand, die Datei direkt aufzurufen, scheitert er an der .htaccess.
    Soweit meine Theorie, vielleicht gehts aber auch einfacher ;)

    Ciao Hatori
    •  
      CommentAuthorMarc
    • CommentTime30.07.2010
     permalink
    Ich dachte, das Plugin/Snippet erlaubt einem die Dateien außerhalb des Roots zu legen und deshalb würde der Pfad nix bringen... Der Download würde dann immer über das Snippet laufen, oder Plugin. Habs nie ausprobiert.
    • CommentAuthorHatori
    • CommentTime30.07.2010 bearbeitet
     permalink
    Na ja, Marc, das geht ja aber nur, wenn Dir Dein Provider auch gestattet, etwas außerhalb des roots abzulegen. Bei den meisten haste aber nur das Verzeichnis, in dem Deine HP-Dateien liegen und da isses egal, ob ich eine Datei in assets/files oder assets/files/secure oder wo auch immer lege und verlinke oder in den root der Installation, sobald man den Pfad kennt, kann man sie auch runterladen. Es sei denn, man schützt das Verzeichnis selber.
    Oder man verbiegt den Pfad, der in der Statuszeile angezeigt wird, so dass der User den richtigen Pfad nicht zu sehen bekommt, ist IMHO aber zu unsicher.

    Ciao Hatori
    •  
      CommentAuthorMarc
    • CommentTime30.07.2010
     permalink
    Oder man verbiegt den Pfad, der in der Statuszeile angezeigt wird, so dass der User den richtigen Pfad nicht zu sehen bekommt, ist IMHO aber zu unsicher.


    Naja, ist eher Quatsch als unsicher ;)

    etwas außerhalb des roots abzulegen


    (Web-)Root ist da, wo Deine Domain hinzeigt... Und bei jedem mir bekannten Provider kann ich die Domain an einen beliebigen Ordner binden. Wenn die Dateien außerhalb dieses Ordners liegen, kommt von außen keiner ran (außer vielleicht über andere Domains aus dem Paket).
    • CommentAuthorChabatta
    • CommentTime31.07.2010
     permalink
    Danke für euere Anregungen, jetzt wird es klarer. Wenn die Dateien aber außerhalb des Roots gelegt werden, gibt es halt auch keine Möglichkeit mehr das mit dem Dateimanager zu verwalten, hmm...
    • CommentAuthorHatori
    • CommentTime31.07.2010
     permalink
    (Web-)Root ist da, wo Deine Domain hinzeigt... Und bei jedem mir bekannten Provider kann ich die Domain an einen beliebigen Ordner binden. Wenn die Dateien außerhalb dieses Ordners liegen, kommt von außen keiner ran (außer vielleicht über andere Domains aus dem Paket).

    Bei jedem mir bekannten Provider kann ich jede Subdomain auf ein beliebiges Verzeichnis legen, die Hauptdomain kann ich nirgends hin verschieben, zumindest nicht, dass ich wüsste ... was allerdings nun wieder nichts zu heißen hat ... :) ;)

    Ciao Jörn

1 bis 10 von 10

  1.