Ordner Sichern....

Beitrag von **Pretender** » 07.02.2010, 16:33

Hallo,

es ist etwas schwer eine vernünftige Überschrift für mein Problem zu finden.
Ich versuch es einmal zu erklären.

Ich habe einen Adminbereich gebaut der nur über Login (SQL) zu erreichen ist. In diesem Adminbereich erzeuge ich zum Teil pdf-Datein die dnn in diesem Admin-Ordner abgespeichert werden. Genau da liegt mein Problem, denn diese PDF-Datein sind ja nicht über die SQL-Abfrage gesichert und können direkt per Browser etc aufgerufen werden.

Zwar wird es kaum möglich sein, da keiner die Adresse kennt in der die Ordner liegen aber trotzdem. Sicher ist sicher.

Klar ich könnte in diesen ordner eine htaccess abfrage machen, aber das ist nicht sehr schön, wenn ich die PDF`s aufrifen will, nochmal ein Passwort einzugeben.
Kennt jemand eine Möglichkeit(und sagt mir auch wie) diese PDF`s, Bilder oä. zu schützen, ohne das ich nochmal ein Passwort eingeben muss, wenn ich mich über das normale Login des Adminbreiches eingeloggt habe. Wenn ich nicht eingeloggt bin, dann soll natürlich die Pass-Abfrage kommen.

Ich hoffe Ihr versteht wie ich es meine...

Grüße

von **Anzeige von ABAKUS** »

Beitrag von **Mork vom Ork** » 07.02.2010, 16:42

Lege die Dateien in einen Ordner oberhalb des Web-Wurzelverzeichnisses (meist htdocs genant) und regle den Zugriff über dein Skript. Alternativ kannst du auch ein Verzeichnis in deinem Adminbereich anlegen und dieses per .htaccess und Deny from all sperren oder auch ohne eigenes Verzeichnis Dateien mit der Endung .pdf selbst per <FilesMatch>-Block sperren - der PHP-Zugriff ist davon unbetroffen.

Dateien (nicht Datein) kannst du in PHP zum Beispiel mit readfile() direkt an den Browser ausgeben; nicht vergessen, den Inhalt mit einer entsprechenden Zeile header("Content-Type: application/pdf") anzukündigen, damit der Browser weiß, was da auf ihn zukommt.
Last but not least: Ich kenne jetzt deinen PDF-Generator nicht, aber du musst keine Datei erzeugen, um ein PDF-Dokument an den Browser zu schicken, du kannst die Daten auch direkt aus dem Skript heraus ausgeben.

Beitrag von **Pretender** » 07.02.2010, 17:09

Hi,
hmmmm, viele Ideen. Also die PDF`s sind bereits erstellt und liegen in einem Ordner.
An den htdocs Ordner oder einen anderen oberhalb des Root komme ich nicht ran, da ich keinen Serverzugriff habe. Bzw. ist mir nicht bekannt wie ich diesen Ordner ansprechen kann wenn ich keinen Serverzuigriff habe.

Klar ich kann die Daten, anstatt eine direkt PDF zu erzeugen, in eine DB schreiben und bei Bedarf per Script anzeigen lassen. Ich erzeuge die bisher aber gleich, da ich diese PDF`s per FTP dann auf meinem Rechner saven will.
Also kommt das per PHp anzeigen nicht bzw. nur bedingt in Frage.

Wenn ich die PDF`s aber aus den Adminbereich dann doch einmal aufrufen will, müsste ich beim Schutz per .htaccess und Deny from all, nicht weiter kommen?! Ich könnte auch einen IP Breich freigeben, allerdings habe ich kein feste IP. Wenn ich Providertypischen A und B block nehmen würde, wäre es schon eingeschränkt aber immer noch nicht sicher.

Also kurz gesagt: Ich hatte vor die PDF`s per FTP zu saven aber trotzdem noch aus dem Adminbereich aufrufbar machen.

Mir scheint eine Kombination: aus SQL direkt anzeigen lassen und htaccess sperren scheint die einzige Möglichkeit???

Oder habe ich etwas übersehen?

von **Anzeige von ABAKUS** »

Beitrag von **800XE** » 07.02.2010, 18:21

Pretender hat geschrieben:Ich könnte auch einen IP Breich freigeben, allerdings habe ich kein feste IP. Wenn ich Providertypischen A und B block nehmen würde, wäre es schon eingeschränkt aber immer noch nicht sicher.

Also kurz gesagt: Ich hatte vor die PDF`s per FTP zu saven aber trotzdem noch aus dem Adminbereich aufrufbar machen.

Wenn du dein "Login" auf die Dateizugriffe ausdehnst, dann gilt das ja nicht für FTP

---- denny all ----
im Admin einen Link .... lass mich FTP
klick .... und
---- allow $_SERVER['REMOTE_ADDR']

dann darf FTP
danch (der "lass mich FTP" heist jetzt "FTP abmelden" )
"FTP abmelden" und den allow wieder aus der htaccess raus

ist doch ganz einfach

Beitrag von **Pretender** » 07.02.2010, 18:57

Hi,

Du weißt doch wie das ist wenn man etwas kann bzw weiß, dann ist es immer ganz einfach.
hmmm aber schade, ich verstehe Deine Halbsätzen leider nicht.
Kannst Du es bitte in ganzen Sätzen formulieren, dann begreife ich es bestimmt besser.

Ich bin schon über 40 und brauche die es etwas genauer...

Wäre nett! THX

Beitrag von **Synonym** » 07.02.2010, 19:28

Hm, also eigentlich sollte das so gehen wie Mork vom Ork geschrieben hatte. Die PDF rufst Du dann halt nicht direkt per Link auf, sondern ein Script, das Dir dann die PDF ausliefert / anzeigt / zum Download anbietet, was auch immer.

Dieses Script ist nur über den Adminbereich erreichbar und die eigentlichen PDF für direkten Zugriff gesperrt.

Beitrag von **catcat** » 07.02.2010, 21:09

jo. Pretender... das, was boxxe da cryptisch in Halbsätzen andeutet ist schon richich

Du mußt dem script nur ne 700 geben und dafür sorgen, das die erzeugten Datensätze in einem gesicherten Verzeichnis landen. Fertig is die Kiste.

Beitrag von **800XE** » 07.02.2010, 22:21

catcat hat geschrieben:jo. Pretender... das, was boxxe da cryptisch in Halbsätzen andeutet ist schon richich
Du mußt dem script nur ne 700 geben und dafür sorgen, das die erzeugten Datensätze in einem gesicherten Verzeichnis landen. Fertig is die Kiste.

700?
und Wer ist boxxe?

Pretender hat geschrieben:Du weißt doch wie das ist wenn man etwas kann bzw weiß,

dann ist es immer ganz einfach.

Die Frage ist
Wer weiss und wer weiss nicht

Du weisst ... das man da eine htaccess mit allow machen kann,
aber du sagtest "ich habe keine feste IP"
ich sagte wir ... Link im Admin (zu einem PHP) um deine Aktuelle IP in die htaccess reinzuschreiben (und dann noch ein PHP das die "allow 1.2.3.4" wieder aus der htaccess löscht damit nicht später zufällig Jemand der dann deine(jetzt nicht mehr deine) IP hat ....

Beitrag von **Pretender** » 08.02.2010, 09:51

hi alle,
jou ich glaube ich habe es begriffen. Ich war schon lange unterwegs gestern und hatte wohl das Gehirn schon abgeschaltet.

1. Ich kann die PDF mit readfile aufrufen. Die htaccess bleibt davon unberührt da ich die Datei per Script aufrufe. Andererseits kann dann auch ein anderer findiger Geist die Datei per Script von außen aurufen. Also wenn ich es richtig verstanden haben, ist dies machbar aber nicht wirklich sicher.

2. Sobald ich die Datei per Link aufrufe bzw. bevor ich die Datei aufrufe, schreibe ich in die htaccess meine IP. Wenn die Datei angezeigt wurde, lösche ich die IP wieder aus der htaccess damit keiner mehr von außen zugreifen kann. So oder so ähnlich habe ich es verstanden und es erschent mir am sichersten. Ich werde dann mal die 2. Möglichkeit testen.

THX an alle!

Beitrag von **Mork vom Ork** » 08.02.2010, 10:19

Pretender hat geschrieben:1. Ich kann die PDF mit readfile aufrufen. Die htaccess bleibt davon unberührt da ich die Datei per Script aufrufe. Andererseits kann dann auch ein anderer findiger Geist die Datei per Script von außen aurufen.

Nein, falsch. Mit Verlaub: Du hast geschrieben, dass du „einen Adminbereich gebaut [hast], der nur über Login (SQL) zu erreichen ist“ (wie ich da auf PHP gekommen bin, obwohl du davon nichts schreibst, weiß ich nicht, tut aber letztlich nichts zur Sache). Warum bist du dann nicht in der Lage, ein zusätzliches Skript, jenes, dass deine PDF-Dateien ausliefert, auf dieselbe Art per Passwort zu sichern?

2. Sobald ich die Datei per Link aufrufe bzw. bevor ich die Datei aufrufe, schreibe ich in die htaccess meine IP. Wenn die Datei angezeigt wurde, lösche ich die IP wieder aus der htaccess damit keiner mehr von außen zugreifen kann.

Das ist Bockmist. Wie willst du denn den Zugriff auf die .htaccess sichern? Doch auch wieder mit einem Passwort. Dann kannst du auch auf demselben Weg gleich den Zugriff auf die PDF-Dateien sichern, anstatt den Umweg über die Änderung der .htaccess zu nehmen und dabei eine weitere Fehlerquelle einzubauen.