Der etwas andere Verzeichnisschutz, möglich und sicher?

Der etwas andere Verzeichnisschutz, möglich und sicher?

Hallo,

eins vorweg, ich beschäftige mich erst seit kurzem mit der .htaccess und habe den Syntax erst ansatzweise durchschaut. Ich bitte dies beim Antworten zu berücksichtigen, danke.

Ausgangslage:
- Eine Seite für eine Schulklasse. Mit ausgefeilten Angriffen ist also eher nicht zu rechen. Es sind "nur" Persönlichkeitsrechte zu wahren.
- Ein geschlossenes Forum (nicht einsehbar, keine Registrierung ohne Freischaltung durch Admin)
- Ein mit .htaccess paßwortgeschütztes Verzeichnis /galerie/ .

Ziele:
- Keine zweimalige Anmeldung (Forum und Galerie) nötig.
- Kein unerlaubter Zugriff auf Dateien im Verzeichnis /galerie/ .

Was ich vor habe:
- Ich lege eine Datei eingang.php an, auf der für, im Forum angemeldete Besucher, ein Link (Ziel in /galerie/) zu sehen ist. Nicht angemeldete Besucher kommen nicht auf die eingang.php.
- anlegen einer .htaccess mit RewriteCond und RewriteRule, siehe unten
- löschen der .htaccess mit dem Paßwortschutz in /galerie/

soweit bin ich bisher: Anmerkung:
- Die fehler.html darf natürlich nicht im Verzeichnis /galerie/ liegen.
- diese .htaccess funktioniert schon mal nicht.

Fragen:
1. Funktioniert das, vor allem die zweite RewriteCond mit der RewriteRule? (Es scheint so, wenn ich mich aus die zwei Zeilen beschränke)
2. Ist das so sicher wie es das Forum ist?
3. Funktioniert das bzw. ist die .htaccess ausreichend, auch für Seiten und Dateien in Unterverzeichnissen innerhalb von /galerie/ ?
4. Kann man aus der eingang.php einen Wert (Besucher ist angemeldet) sicher übergeben, um nicht mit dem Referer arbeiten zu müssen?
5. Was für Schwachstellen könnten "realistischer Weise" auftreten.
6. Andere Anmerkungen?

PS: Ich würde mich für ein zwei empfehlenswerte deutschsprachige Links zum Thema .htaccess interessieren.

Kurz gesagt - nein, das funktioniert nicht. Selbst wenn du auf diesen Weg was funktionsfähiges schaffen würdest, ist es nicht mal ansatzweise sicher und schließt außerdem noch alle Leute aus, die keine Referer erlauben.

Warum suchst du dir nicht einfach eine Forum-Software, die gleich eine Galerie mit integriert hat oder schaust mal nach einem entsprechenden Mod? Für so ziemlich jedes halbwegs verbreitete Board-System dürfte es entsprechende Mods geben und dort lässt sich der Zugriff dann sicherlich auch regeln.

es muß doch fertige scripte geben mit denen man user für apache webs anlegen kann.

Gruß

sean

Danke schon mal.

@ Babelfisch, das hatte ich mir fast gedacht. Zu der Forensoftware, bei den Mods die ich gefunden habe, steht nichts davon, daß die Bilder nicht von außen einzusehen sind und ohne das geht es nicht. Aber ich werde mich noch mal informieren.

@ sean, ich habe eine fertige Galerie in einem geschützten Verzeichnis nur wollte ich die doppelte Anmeldung in Forum und Galerie vermeiden. Die Galerie nur durch das Forum zu schützen ist kein Problem nur sind dann die Bilder einzeln trotzdem aufzurufen.

Überprüfe doch einfach in PHP, ob dein Benutzer aktuell in dem Forum angemeldet ist, ggfs. auch, welcher Gruppe er angehört. Die Bilder kannst du auch durch ein PHP-Skript "tunneln" mit dieser Abfrage, die originalen Bilddateien einfach in ein Verzeichnis, welches von aussen nicht einsehbar ist.

@ Bimbel, das habe ich teilweise schon gemacht nur habe ich es noch nicht geschaft mehrere "getunnelte" Bilder in eine Galerie einzubauen (Probleme mit dem header). Muß ich für jedes Bild eine Datei dieser Art (siehe unten) anlegen oder geht das auch anders? Nun, die Beantwortung dieser Fragen dürfte eventuell den Rahmen sprengen.

Hasenhuf hat geschrieben:Muß ich für jedes Bild eine Datei dieser Art (siehe unten) anlegen oder geht das auch anders?

Hint: Du kannst auch Parameter übergeben.

Stimmt, da muß ich nur noch rausfinden was sicher ist und was nicht, deshalb habe ich einen anderen Weg gesucht.

Danke an Alle.