Seite nur über bestimmte Referrerseite zugänglich machen

Beitrag von **catcat** » 04.12.2007, 16:20

Ich möchte downloads anbieten (200kb - 5MB Größe), mit cash-by-call, cash-by-sms und cash-by-handy. Also der Anrufer ruft ne kostenpflichtige Nummer an und bekommt ne PIN oder ein Passwort zugeschickt. Die gibt er bei mir auf der Seite an und dann kann ich ihn:
a. Mit PIN oder Passwort: automatisch weiterleiten
b. Mit PIN: ne Email mit downloadlink schicken

Und mein Problemchen:
Wenn ich ihn in einen Memberbereich weiterleite, wo er downloaden kann und er dann auch das File downloadet, dann hat er ja den Downloadlink. Wie kann ich verhindern, das dieser Link einfach weitergegeben wird?

Wie kann ich verhindern, das der Link in der Email weitergegeben wird und mehrfach genutzt wird?

Kann ich "irgendwie" festlegen, das auf meinen Downloadordner nur zugegriffen wird, wenn zuvor z.B. die memberseite.htm besucht wurde (wo man ja nur hinkommt, über die Eingabe eines Passworts)?

ich habe heut ne akute Denkblockade...

von **Anzeige von ABAKUS** »

Beitrag von **Fox Mulder** » 04.12.2007, 19:50

Schalte Dir vor das Downloadziel eine Weiterleitungseite, auf die Du verlinkst und in der Du auf $_SERVER['HTTP_REFERER'] prüfts. Ohne richtigen Referer kein Download.
Nebenbei kannst du hier das Ziel auch noch verschleiern.

Gruss

Beitrag von **wolli** » 04.12.2007, 19:54

@$_SERVER['HTTP_REFERER']
sind easy manipulierbar und deshalb ungeeignet

nette Grüße
wolli

von **Anzeige von ABAKUS** »

Content Erstellung von ABAKUS Internet Marketing
Ihre Vorteile:

einzigartige Texte
suchmaschinenoptimierte Inhalte
eine sinnvolle Content-Strategie
Beratung und Umsetzung

Jetzt anfragen: 0511 / 300325-0

Beitrag von **catcat** » 04.12.2007, 20:13

Ebent! Und was mach ich mit Leuten, die nem Webwasher oder Browser mit aktiviertem "No-URL-Referrer" unterwegs sind?

Beitrag von **Thies** » 04.12.2007, 20:56

Hi,

per PHP kann man das m.E. lösen. Anbei eine function, die ich mal irgendwo im Web gefunden und für meine Bedürfnisse angepasst hatte:

Code: Alles auswählen

function send_file_to_browser&#40;$filename_save, $mimetype, $dl_link, $dl_dir&#41;
	&#123;
	global $HTTP_USER_AGENT, $HTTP_SERVER_VARS;

	$filename = &#40;$dl_dir == ''&#41; ? $dl_link &#58; $dl_dir . $dl_link;
	$file_check = @fopen&#40;$filename, 'rb'&#41;;

	if &#40;$file_check&#41;
		&#123; fclose&#40;$file_check&#41;; $check_ok = TRUE; &#125;
	else
		&#123; $check_ok = FALSE; &#125;

	//
	// Determine the Browser the User is using, because of some nasty incompatibilities.
	// Most of the methods used in this function are from phpMyAdmin. &#58;&#41;
	//
	if &#40;!empty&#40;$_SERVER&#91;'HTTP_USER_AGENT'&#93;&#41;&#41; 
		&#123; $HTTP_USER_AGENT = $_SERVER&#91;'HTTP_USER_AGENT'&#93;;&#125; 
	else if &#40;!empty&#40;$HTTP_SERVER_VARS&#91;'HTTP_USER_AGENT'&#93;&#41;&#41; 
		&#123; $HTTP_USER_AGENT = $HTTP_SERVER_VARS&#91;'HTTP_USER_AGENT'&#93;; &#125;
	else if &#40;!isset&#40;$HTTP_USER_AGENT&#41;&#41;
		&#123; $HTTP_USER_AGENT = '';&#125;

	if &#40;ereg&#40;'Opera&#40;/| &#41;&#40;&#91;0-9&#93;.&#91;0-9&#93;&#123;1,2&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;2&#93;; $browser_agent = 'opera';&#125; 

	else if &#40;ereg&#40;'MSIE &#40;&#91;0-9&#93;.&#91;0-9&#93;&#123;1,2&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;1&#93;; $browser_agent = 'ie'; &#125; 

	else if &#40;ereg&#40;'OmniWeb/&#40;&#91;0-9&#93;.&#91;0-9&#93;&#123;1,2&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;1&#93;; $browser_agent = 'omniweb'; &#125; 

	else if &#40;ereg&#40;'Netscape&#40;&#91;0-9&#93;&#123;1&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;1&#93;; $browser_agent = 'netscape'; &#125; 

	else if &#40;ereg&#40;'Mozilla/&#40;&#91;0-9&#93;.&#91;0-9&#93;&#123;1,2&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;1&#93;; $browser_agent = 'mozilla'; &#125; 

	else if &#40;ereg&#40;'Konqueror/&#40;&#91;0-9&#93;.&#91;0-9&#93;&#123;1,2&#125;&#41;', $HTTP_USER_AGENT, $log_version&#41;&#41; 
		&#123; $browser_version = $log_version&#91;1&#93;; $browser_agent = 'konqueror'; &#125; 
	else 
		&#123; $browser_version = 0; $browser_agent = 'other'; &#125;

	/*
	// Correct the mime type - we force application/octetstream for all files, except images
	// Please do not change this, it is a security precaution
	if &#40;!strstr&#40;$mimetype, 'image'&#41;&#41;
		&#123; $mimetype = &#40;$browser_agent == 'ie' || $browser_agent == 'opera'&#41; ? 'application/octetstream' &#58; 'application/octet-stream'; &#125;
	*/

	//
	// Correct the Mime Type, if it's an octetstream
	//
	if &#40; &#40;$mimetype == 'application/octet-stream'&#41; || &#40;$mimetype == 'application/octetstream'&#41; &#41;
		&#123;
		if &#40; &#40;$browser_agent == 'ie'&#41; || &#40;$browser_agent == 'opera'&#41; &#41;
			&#123; $mimetype = 'application/octetstream'; &#125;
		else
			&#123; $mimetype = 'application/octet-stream'; &#125;
		&#125;

	//
	// Now send the File Contents to the Browser
	//

	if &#40;$check_ok&#41;
		&#123; 
		//
		// Send out the Headers
		//

		@ob_end_clean&#40;&#41;;
		@ini_set&#40;'zlib.output_compression', 'Off'&#41;;
		header&#40;'Pragma&#58; public'&#41;;
		header&#40;'Content-Transfer-Encoding&#58; none'&#41;;

		// Send out the Headers
		header&#40;'Content-Type&#58; ' . $mimetype . '; name="' . $filename_save . '"'&#41;;
		header&#40;'Content-Disposition&#58; inline; filename="' . $filename_save . '"'&#41;;

		$size = @filesize&#40;$filename&#41;;
		if &#40;$size&#41;
			&#123;
			header&#40;"Content-length&#58; $size"&#41;;
			&#125;

		@readfile&#40;$filename&#41;; 
		&#125;
	else
		&#123;
		// Fehlerausgabe
		&#125;
	exit&#40;&#41;;
	&#125;

Mit der function wird der Download nämlich nicht als Link ausgegeben sondern direkt zum Download bereitgestellt, ohne dass der User nach meinem Kenntnisstand überhaupt eine Chance hat, den Downloadlink zu erfahren.

Du müsstest vor dem Aufruf der function den entsprechenden MIME-Typ übergeben (habe ich bei mir gleich beim Anlegen des Files in die DB eingetragen) und Du kannst vor dem Aufruf prüfen, ob der User überhaupt berechtigt ist. z.B. bei der PIN-Abfrage die IP in einer DB hinterlegen und prüfen, ob die IP desjenigen, der den Link aufruft, mit der in der DB identisch ist.

Aber: diese function solltest Du nur nutzen, wenn Du auf einem eigenen und sehr gute Server bist, denn die Datei wird eingelesen und dann an den User übertragen. Das kostet Performance.

Wenn Du mehr Infos brauchst, melde Dich bei mir.

CU

Frank-Andre

Beitrag von **catcat** » 04.12.2007, 21:41

Super! ich werd mir das mal einsickern lassen, wenn ich wieder nüchtern bin

Danke!

Beitrag von **Thies** » 05.12.2007, 09:11

Auf php.net gibt es auch einen guten Lösungshinweis, insbesondere, wenn der MIME-Typ vorher nicht bekannt ist: https://de2.php.net/manual/de/function. ... .php#56109

CU

Frank-Andre

Beitrag von **Hasenhuf** » 06.12.2007, 16:03

Wenn Du readfile benutzt, kannst Du das Verzeichnis in dem die Dateien liegen auch mit ner .htaccess und "Deny from all" sperren, dann ist es egal, ob der Link bekannt wird. Nach dem Download läßt man den PIN verfallen und gut ist. Etwas Feintuning für abgebrochene Downloads wird schon schwieriger.

Beitrag von **catcat** » 07.12.2007, 20:43

Danke hasenhuf! Das is die Lösung!
Glaube ich...