Discussion:
[TYPO3-german] Sichere Downloads
Andreas Bernhardt
2011-06-13 13:27:17 UTC
Permalink
Hallo!

Ich m?chte auf einer Seite ein paar Downloads anbieten, die man nur als eingeloggter Benutzer aufrufen kann.
Soweit kein Problem, nur kann man nat?rlich ganz einfach noch den link zu /fileadmin/download/sicher.pdf weitergeben.

Hat schonmal jemand etwas gemacht, so dass man genau das nicht mehr kann?

Ich habe es gerade mit verschiedenen Extensions probiert, die haben aber alle maximal eine Placebo-Wirkung.

Mit naw_securedl klappt das nur mit Bildern, die ich einbinde. Wenn ich die Rechte ?ndere, so dass man nicht mehr dran kommen sollte (sind im FE nicht mehr sichtbar), komme ich trotzdem mit der langen URL dran, die ich mir vorher gemerkt habe.
Bei News und Links auf Dateien aus normalen Texten heraus funktioniert es gar nicht.

Hat jemand eine Idee, was man hier tun k?nnte? Gibt es funktionierende alternativen, die sicher auf die Rechte achten?

Danke!

Andreas
Ralf Würtz - EmK-Internetarbeit
2011-06-13 13:49:21 UTC
Permalink
Hallo Andreas,
naw_securedl kann f?r verschiedene Dateitypen konfiguriert werden. In der Konfigruation unter filetype die Dateiendung angeben. Mehrere werden durch Pipe getrennt.

Gru?

Ralf
Post by Andreas Bernhardt
Hallo!
Ich m?chte auf einer Seite ein paar Downloads anbieten, die man nur als eingeloggter Benutzer aufrufen kann.
Soweit kein Problem, nur kann man nat?rlich ganz einfach noch den link zu /fileadmin/download/sicher.pdf weitergeben.
Hat schonmal jemand etwas gemacht, so dass man genau das nicht mehr kann?
Ich habe es gerade mit verschiedenen Extensions probiert, die haben aber alle maximal eine Placebo-Wirkung.
Mit naw_securedl klappt das nur mit Bildern, die ich einbinde. Wenn ich die Rechte ?ndere, so dass man nicht mehr dran kommen sollte (sind im FE nicht mehr sichtbar), komme ich trotzdem mit der langen URL dran, die ich mir vorher gemerkt habe.
Bei News und Links auf Dateien aus normalen Texten heraus funktioniert es gar nicht.
Hat jemand eine Idee, was man hier tun k?nnte? Gibt es funktionierende alternativen, die sicher auf die Rechte achten?
Danke!
Andreas
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Andreas Bernhardt
2011-06-13 14:34:56 UTC
Permalink
Hallo Ralf!

OK, ich musste es nat?rlich mit einer Datei probieren, die nicht in der Liste drin steht.

Ganz funktioniert es aber noch nicht (wie ich es mir w?nsche)

Habe ein einem Text einen Link.
Ich bekomme eine URL wie z.B. (gek?rzt)
?eID=tx_nawsecuredl&u=0&file=fileadmin/Sky.jpg&t=123&hash=bla

Ich kopiere nun die komplette URL.

Jetzt setze ich f?r den Text die Zugriffsrechte, so dass ich als FE-User das nicht mehr zu sehen bekomme. Ich hatte erwartet, dass nun auch der Link nicht mehr funktioniert.

Im Browser eingef?gt bekomme ich aber immernoch meine Datei angezeigt.
Ich h?tte gedacht, dass ich eine Seite bekomme, auf der Steht, dass ich das nicht laden darf.

Was mache ich falsch - oder erwarte ich etwas falsches von der Extension?

Sch?ne Pfingsten!

Andreas Bernhardt
Post by Ralf Würtz - EmK-Internetarbeit
Hallo Andreas,
naw_securedl kann f?r verschiedene Dateitypen konfiguriert werden. In der Konfigruation unter filetype die Dateiendung angeben. Mehrere werden durch Pipe getrennt.
Gru?
Ralf
Post by Andreas Bernhardt
Hallo!
Ich m?chte auf einer Seite ein paar Downloads anbieten, die man nur als eingeloggter Benutzer aufrufen kann.
Soweit kein Problem, nur kann man nat?rlich ganz einfach noch den link zu /fileadmin/download/sicher.pdf weitergeben.
Hat schonmal jemand etwas gemacht, so dass man genau das nicht mehr kann?
Ich habe es gerade mit verschiedenen Extensions probiert, die haben aber alle maximal eine Placebo-Wirkung.
Mit naw_securedl klappt das nur mit Bildern, die ich einbinde. Wenn ich die Rechte ?ndere, so dass man nicht mehr dran kommen sollte (sind im FE nicht mehr sichtbar), komme ich trotzdem mit der langen URL dran, die ich mir vorher gemerkt habe.
Bei News und Links auf Dateien aus normalen Texten heraus funktioniert es gar nicht.
Hat jemand eine Idee, was man hier tun k?nnte? Gibt es funktionierende alternativen, die sicher auf die Rechte achten?
Danke!
Andreas
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
_______________________________________________
TYPO3-german mailing list
TYPO3-german at lists.typo3.org
http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
Philipp Gampe
2011-06-13 14:39:53 UTC
Permalink
Hallo Andreas,
Post by Andreas Bernhardt
Habe ein einem Text einen Link.
Ich bekomme eine URL wie z.B. (gek?rzt)
?eID=tx_nawsecuredl&u=0&file=fileadmin/Sky.jpg&t=123&hash=bla
Ich kopiere nun die komplette URL.
Jetzt setze ich f?r den Text die Zugriffsrechte, so dass ich als FE-User
das nicht mehr zu sehen bekomme. Ich hatte erwartet, dass nun auch der
Link nicht mehr funktioniert.
Du musst noch den Cache leeren (von der Seite). Ich hoffe du meinst mit
nicht mehr zu sehen so etwas wie nur eine bestimmte FE-User-Gruppe darf
darauf zugreifen und nicht "versteckt/unsichtbar" oder ?hnliches.
Post by Andreas Bernhardt
Im Browser eingef?gt bekomme ich aber immernoch meine Datei angezeigt.
Ich h?tte gedacht, dass ich eine Seite bekomme, auf der Steht, dass ich
das nicht laden darf.
Wie gesagt, du musst zumindest den Cache leeren, nachdem du die
Berechtigungen ge?ndert hast.
Post by Andreas Bernhardt
Was mache ich falsch - oder erwarte ich etwas falsches von der Extension?
Eigentlich sollte sie genau das tun, zumindest bei mir hat sie dies immer
getan.

Und nicht vergessen, den eigentlichen Download Ordner per .htaccess zu
sperren.

Viele Gr??e
--
Philipp Gampe
Stefan Neufeind
2011-06-13 14:47:08 UTC
Permalink
Hi,
Post by Philipp Gampe
Post by Andreas Bernhardt
Habe ein einem Text einen Link.
Ich bekomme eine URL wie z.B. (gek?rzt)
?eID=tx_nawsecuredl&u=0&file=fileadmin/Sky.jpg&t=123&hash=bla
Ich kopiere nun die komplette URL.
Jetzt setze ich f?r den Text die Zugriffsrechte, so dass ich als FE-User
das nicht mehr zu sehen bekomme. Ich hatte erwartet, dass nun auch der
Link nicht mehr funktioniert.
Du musst noch den Cache leeren (von der Seite). Ich hoffe du meinst mit
nicht mehr zu sehen so etwas wie nur eine bestimmte FE-User-Gruppe darf
darauf zugreifen und nicht "versteckt/unsichtbar" oder ?hnliches.
Post by Andreas Bernhardt
Im Browser eingef?gt bekomme ich aber immernoch meine Datei angezeigt.
Ich h?tte gedacht, dass ich eine Seite bekomme, auf der Steht, dass ich
das nicht laden darf.
Wie gesagt, du musst zumindest den Cache leeren, nachdem du die
Berechtigungen ge?ndert hast.
Post by Andreas Bernhardt
Was mache ich falsch - oder erwarte ich etwas falsches von der Extension?
Eigentlich sollte sie genau das tun, zumindest bei mir hat sie dies immer
getan.
Das funktionierte bei mir auch bisher auch immer. Der Hash enthalt auch
einen Timestamp (der Link ist nur eine Zeit lang g?ltig) und ich meine
mich auch zu erinnern, dass jeweils die Benutzerrechte des aktuell
eingeloggten FE-Users gepr?ft werden.
Post by Philipp Gampe
Und nicht vergessen, den eigentlichen Download Ordner per .htaccess zu
sperren.
Stimmt. Aber das hat ja dann mit o.g. Link zumindest nichts zu tun :-)


Gr??e,
Stefan
Andreas Bernhardt
2011-06-13 16:14:05 UTC
Permalink
Post by Stefan Neufeind
Das funktionierte bei mir auch bisher auch immer. Der Hash enthalt auch
einen Timestamp (der Link ist nur eine Zeit lang g?ltig) und ich meine
mich auch zu erinnern, dass jeweils die Benutzerrechte des aktuell
eingeloggten FE-Users gepr?ft werden.
OK - der Fehler sitzt immer vor dem Monitor.
Ich hatte den Link erst ?ffentlich gemacht, dann kopiert. Dann den Link/Inhalt auf "Show at any login" gesetzt - ohne mich einzuloggen.
Der kopierte Link hat aber offenbar das Attribut "?ffentlich" in sich enthalten.

Anders herum geht es. Nur f?r einen FE User online gestellt, URL kopiert und ausgeloggt - dann geht es nicht mehr - wie gew?nscht.

Folglich muss ich einfach nur aufpassen, wie ich etwas das erste mal online stelle.

Danke f?r eure Hilfe!

Andreas
Andreas Werner
2011-06-14 05:44:49 UTC
Permalink
Post by Andreas Bernhardt
Hallo!
Ich m?chte auf einer Seite ein paar Downloads anbieten, die man nur als eingeloggter Benutzer aufrufen kann.
Soweit kein Problem, nur kann man nat?rlich ganz einfach noch den link zu /fileadmin/download/sicher.pdf weitergeben.
Hat schonmal jemand etwas gemacht, so dass man genau das nicht mehr kann?
vcd_archive kann das

Gr??e
Andreas
Alexander Stehlik
2011-06-16 18:29:03 UTC
Permalink
Hallo Andreas,

TYPO3 bietet sowas auch out of the box.

Einfach eine Dateiliste auf der zugriffsgesch?tzten Seite einbinden und
folgenden Konstanten im TypoScript setzen:

styles.content.uploads.jumpurl_secure = 1
styles.content.uploads.jumpurl = 1

Nat?rlich muss da Verzeichnis in dem die Dateien liegen noch mit
.htaccess gesch?tzt werden, damit man 100%ig sicher ist.

Viele Gr??e,
Alex
Post by Andreas Bernhardt
Hallo!
Ich m?chte auf einer Seite ein paar Downloads anbieten, die man nur als eingeloggter Benutzer aufrufen kann.
Soweit kein Problem, nur kann man nat?rlich ganz einfach noch den link zu /fileadmin/download/sicher.pdf weitergeben.
Hat schonmal jemand etwas gemacht, so dass man genau das nicht mehr kann?
Ich habe es gerade mit verschiedenen Extensions probiert, die haben aber alle maximal eine Placebo-Wirkung.
Mit naw_securedl klappt das nur mit Bildern, die ich einbinde. Wenn ich die Rechte ?ndere, so dass man nicht mehr dran kommen sollte (sind im FE nicht mehr sichtbar), komme ich trotzdem mit der langen URL dran, die ich mir vorher gemerkt habe.
Bei News und Links auf Dateien aus normalen Texten heraus funktioniert es gar nicht.
Hat jemand eine Idee, was man hier tun k?nnte? Gibt es funktionierende alternativen, die sicher auf die Rechte achten?
Danke!
Andreas
Lesen Sie weiter auf narkive:
Loading...