Agentur MUC-CMS - Zur Startseite
Home > TYPO3 Inside > MOC Fileshare Manager > Feedback > Verschiedenes > 

MOC Fileshare Manager Forum - Verschiedenes

kein Zugriffsschutz für Dateien im fileadmin-Ordner??
Von 0nyx - 09.09.06 (12:25 Uhr)

Hallo,

danke erstmal für das gute Tutorial. Ich habe jetzt noch folgendes Problem: Wenn jemand den Zugriffspfad auf die Dateien kennt (fileadmin/Filesharing/bild1.jpg), dann kann er diese auch ohne Anmeldung direkt downloaden.

Ist das normal, oder habe ich irgendeine Einstellung vergessen? Wie kann ich den Zugriff von unangemeldeten Benutzern vermeiden?

MfG,
Sebi
 
Ein grundlegendes Problem!!
Von Sascha Maurer - 11.09.06 (18:51 Uhr)

Hi 0nyx,

Das ist wohl ein grundlegendes Problem von TYPO3!

Egal, um welche Inhalte es geht (z.B. .doc., .pdf, .jpg) - sobald der Pfad bekannt ist, kann man ALLE Files in Fileadmin direkt öffnen!! Den Pfad kann man z.B. bei Bildern über den Quelltext erfahren... Selbst wenn die Seite, auf der die Files angezeigt sind, in TYPO3 (Frontend) zugangsbeschränkt sind, können die Datein über den absoluten Pfad geöffnet bzw. gedownloaded werden!

Lösung wäre eine robots.txt in den relevanten Ordnern, oder die TYPO3-Extension "Authorized File Links" (Extension Key: bzb_securelink).

Check it out!

Auch auf typo3.net findest Du zahlreiche Posts zu diesem doch sehr wichtigen Thema!!

Grüße,
Karl
 

Von 0nyx - 14.09.06 (10:43 Uhr)

Hallo!

Ja, das scheint wriklich ein weit verbreitetes Problem in der TYPO3 Gemeinde zu sein. Ich habe inzwischen auch schon mehrere Foren danach durchforstet.

Meine Lösung war, die entsprechenden Ordner mit einer .htaccess Datei zu versehen und somit eine Passwort-Abfrage zu erzwingen, falls jemand direkt über die URL auf die Dateien zugreifen will. Aber ich werde mir auf jeden Fall mal die von dir genannte Extension anschauen.

MfG,
0nyx
 
bzb_securelink
Von Sascha Maurer - 15.09.06 (17:53 Uhr)

Anbei eine Beschreibung von bzb_securelink, auf typo3.org ist ja keine Docu verfügbar. Die folgenden Infos stammen aus der Readme.txt der Extension:

Installation
------------
- Deny access to fileadmin folder:
- For use with Apache: Create in the fileadmin folder a .htaccess file with the content:
Options -Indexes
Order allow,deny
Deny from all
Clear FE cache.


Description of the extension
----------------------------

Important: This extension only work for links to the fileadmin folder in a "Typical page content", not for the "Special element -> FileLinks" !!!

In the default installation of typo3 every user can download files within the fileadmin folder
when he knows the path to a file.

In our environment was a demant to dispatch documents only to authorized users.

The extension wrap every link in a tt_content (text,...) to the fileadmin folder at the rendering process.
A link is wrapped into a link to the pushFile.php script with the content id and the orginal file path as parameter.
Example:
Wrap: <A HREF:fileadmin/file.txt>filename</a>
to: <A HREF=typo3conf/ext/bzb_secureLink/pushFile.php?cuid=123&file=fileadmin%2Ffile.txt>filename</a>

The pushFile.php script test, if the access to the content element with id 'cuid' grant (check also the root path for access and hidden pages) and if the content not hidden.
It tests also, if the filepath who, get as parameter 'file', exist in the tt_content with id 'cuid'.
Was the test successful, then the script read the file and push it to the browser.
The user get the standart dialog for open or safe the file.

The extension dosn't manipulate anything in and at the database!!!

Don't forget to deny the direct accsess to the fileadmin folder!
Thats it.
 
Danke für die Infos!
Von Frank Schneider - 28.09.06 (19:03 Uhr)

Hi Folks,

vielen Dank für die Infos... bin mir erst jetzt der Problematik bewußt geworden, mit bzb_securelink funktionierts!

Cheers
Frank
 
Zurück zur Übersicht

Twitter    Nach oben
Nach obenNach oben