Zugriffs- und Sicherheitsproblem
Eingetragen von Poldrack (288)am 24.09.2006 - 17:55 Uhr in
Hi,
habe einige Seiten aufgestellt, welche nur beschränkt für bestimmte - in diesem Fall registrierte - Nutzer einsehbar sein sollen. Das hat soweit auch prima mit node_privacy_by_role funktionier (4.7.3). Daneben setze ich Image und IMCE ein. Jetzt folgendes Problem:
Der Zugriff auf die Seiten wird über Drupal korrekt gelöst, aber wenn ich die adresse direkt im browser eingebe (zB www.mydomain.de/files/test.jpg oder www.mydomain.de/files/image/test.jpg oder www.mydomain.de/files/u1/test.jpg), dann wird ohne zugriffsverweigerung auf die datei zugegriffen und das bild angezeigt. habe schon mit chmod herumgespielt - ohne erfolg, geht ganz oder gar nicht. Auch dateiverwaltung auf "private" in den drupal-systemeinstellungen ist gesetzt.
Ich erachte dies als ein großes sicherheitsproblem. Gibt es abhilfe - oder habe ich was falsch gemacht?
- Anmelden oder Registrieren um Kommentare zu schreiben
Siehe
am 25.09.2006 - 09:12 Uhr
Siehe http://www.drupalcenter.de/node/1757#comment-5962
--
sanduhrs - drupalcenter
-----------------------
http://erdfisch.de
Quote:
am 25.09.2006 - 13:54 Uhr
Ich denke das ist kein Sicherheitsproblem.
Du musst unter admin/settings/ - Dateisytem-Einstellungen die Download Methode auf 'privat' setzen und deinen "files" Ordner oberhalb deines Web-Roots anlegen und Drupal bekannt machen.
Ich muss gestehen, dass ich das noch nicht gemacht habe, da ich bisher - mit Drupal - keine Sites erstellt habe, in der Bilder oder andere Dateien vorkommen, die in den Hochsicherheitstrakt gehören. Aber, das ist natürlich ein berechtigtes Anliegen. Wie oben geschildert, sollte das Problem gelöst sein.
Danke auch an dieser Stelle nochmal für deinen Tip.
Ich habe das jetzt gemacht:
1) verzeichnisstruktur geändert
>>>root
>>>>>www
>>>>>>>drupal
>>>>>files
>>>>>>>bilder
>>>>>temp
2) entsprechend pfad im drupal system unter verwalten >> dateisystemeinstellungen geändert
3) aber, ich musste alle verzeichnisse, so files mit chmod 777 versehen, damit die module laufen
4) gebe ich jetzt ein
www.mydomain.de/system/files/images/bild111.jpg
wird es mir immer noch angezeigt.
Was kann man da noch tun??? Ist keine befriedigende Lösung und vor allem nicht sicherer als vorher.
Download Methode
am 25.09.2006 - 15:26 Uhr
Hast du die Download-Methode auch auf privat gestellt?
Ausserdem scheint mir das jetzt ein Sicherheitsproblem deines Servers zu sein.
Auf Dateien ausserhalb deines Webroots darf von aussen auf keinen Fall zugegriffen werden.
Und dein Beispielpfad: www.mydomain.de/system/files/images/bild111.jpg ist ja auch nicht ausserhalb des Webroots, sondern relativ zu ihm '/system..'
vg, md - drupalcenter
--
www.mdwp.de
Download-Methode ist auf
am 25.09.2006 - 16:22 Uhr
Download-Methode ist auf privat
das "system" bei "/system/files/images/bild.jpg" stammt nicht von mir oder so, dass muss drupal angeleget habe, da ich eine solche verzeichnisstruktur gar nicht habe.
meiner lautet eigentlich /xxx/xxx/ROOTORDNER/files/images/bild.jpg" - der drupal-pfad würde dann lauten /xxx/xxx/www/drupal/
Macht hier Drupal irgendwelche REWRITES oder so? Kenne mich damit nicht aus und habe an solchen Dingen auch nicht wirklich Ahnung. Ist hier was in den .htaccess versteckt?
Image ist Schuld
am 07.12.2006 - 02:26 Uhr
Ich hatte dasselbe Problem mit Image und Simple Access. Das Problem ist wohl, dass Image sich nicht um Benutzerrechte schert, siehe http://drupal.org/node/26601#comment-54855.
Um das Problem zu lösen muss man derzeit noch ein wenig basteln, eine Beschreibung findet man unter http://www.tilman.de/uppsala/node/84 (Für dich ist wohl nur zweitens wichtig.)