Direkten Zugriff auf Bilder im Login-Bereich verhindern

Hier können Sie Fragen bezüglich der Kundenverwaltung stellen.
Scarabaeus
Member
Beiträge: 37
Registriert: Sa 9. Nov 2013, 18:37

Direkten Zugriff auf Bilder im Login-Bereich verhindern

Beitragvon Scarabaeus » Sa 14. Mär 2015, 22:33

Ich bin derzeit dabei einen Kunden/Login-Bereich zu erstellen und habe die Anleitungen hier im Forum und auch in der Online Dokumentation befolgt.

/de/
- login-formular.html
-/kunden/index.html

Soweit klappt auch alles und man kommt nur nach korrekter Anmeldung in den Kundenbereich. Allerdings lassen sich Binärdateien/Bilder durch Eingabe der direkten URL nach wie vor aufrufen/herunterladen

Im Gegensatz zu der ebenfalls in der Online Dokumentation beschriebenen Vorgehensweise "Downloads nur für eingeloggte Kunden" möchte ich eben NICHT, dass die Dateien heruntergeladen werden können, und bei der Eingabe der direkten URL der User stattdessen auf der Login-Seite landet.
Zwar ist mir klar, dass dies nur mit einer entsprechenden htaccess zu bewerkstelligen ist, allerdings "beisse ich mir hieran die Zähne aus". Die notwendige htaccess müßte doch auch einen Bezug auf die Login-Routine besitzen, oder?

Kann mir jemand hier einen Tipp geben, wie dies bewerkstelligt werden könnte? Wäre super dankbar
Viele Grüsse
Scarabaeus

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Direkten Zugriff auf Bilder im Login-Bereich verhindern

Beitragvon mokraemer » Mo 16. Mär 2015, 13:00

generell läßt sich das Problem nicht lösen. Wenn keine der Dateien direkt geladen werden soll, mußt du deinen Webserver erst mal komplett aushebeln, da dieser statische Inhalte direkt ausliefert.
Ich würde hier genauer überlegen, was alles wie geschützt sein soll, denn die Prüfung bremst natürlich massiv.

Man kann hier alles über ein php-Script laufen lassen, oder man baut sich eine - wie auch immer geartete Integration in den Webserver (Apache)
webEdition-Kern-Entwickler

Scarabaeus
Member
Beiträge: 37
Registriert: Sa 9. Nov 2013, 18:37

Re: Direkten Zugriff auf Bilder im Login-Bereich verhindern

Beitragvon Scarabaeus » Mo 16. Mär 2015, 22:17

Hallo mokraemer,

erst mal vielen Dank für die Antwort.
Aufgrund Deiner Antwort habe ich meine Anfrage noch einmal genau durchgelesen. Scheint eher so, als hätte ich mich missverständlich ausgedrückt.

Im Kern geht es mir eigentlich darum, dass die Dateien nicht durch Eingabe der direkten URL erreichbar sein sollten (also einen Backdoorschutz sozusagen). Ein korrekt eingeloggter User soll und darf natürlich Zugriff auf die Dateien haben. Ich nehme an, dass dies die Angelegenheit in ein etwas anderes Licht rücken könnte?

Nachsatz:
Bestünde evtl. die Möglichkeit, die Kundenverwaltung mit einer beschreibbaren .htaccess zu verbinden, sodass also Kundenlogindaten in der htaccess synchronisiert werden? (nur eine fixe Idee)
Viele Grüsse
Scarabaeus

mokraemer
Senior Member
Beiträge: 3619
Registriert: So 8. Aug 2010, 01:23
Wohnort: Mainz

Re: Direkten Zugriff auf Bilder im Login-Bereich verhindern

Beitragvon mokraemer » Mo 16. Mär 2015, 23:42

ich glaube ich hab dich schon verstanden - nur sprichst du eben von "allen Dateien". Das wären also Bilder, JS, CSS, PDF, ....

Das macht es hier aufwändig. Wenn es "nur" um einzelne Dateien geht, die man zum Download anbieten will, dann läßt sich das über ein vorgeschaltetes Script realisieren, das man bspw. über mod_rewrite steuert. Aber genau das ist eben verhältnismäßig Ressourcenfressend.

Eine direkte Integration in WE selbst gibt es aktuell noch nicht. Das hatten wir als Feature klassifiziert, für das sich ein/mehrere Sponsor finden sollte.
webEdition-Kern-Entwickler

Scarabaeus
Member
Beiträge: 37
Registriert: Sa 9. Nov 2013, 18:37

Re: Direkten Zugriff auf Bilder im Login-Bereich verhindern

Beitragvon Scarabaeus » Mi 18. Mär 2015, 17:30

Ok, das ist sicher eine Sache, die so manchen WE-Nutzer interessieren könnte, zumal ein Backdoor-geschützter Bereich sicherlich von großer Bedeutung ist.
Mehr als PM
Viele Grüsse
Scarabaeus


Zurück zu „Kundenverwaltung“

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 12 Gäste