Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wie schützte ich Attachments?

Eingetragen von dico (21)
am 29.08.2005 - 16:55 Uhr in
  • Module

Hallo,

ich hoffe ihr könnt mir weiterhelfen, da ich so langsam an meiner Aufgabenstellung verzweifele. Im Drupal.org-Forum gibt es zwar ähnliche Threads, die mir bislang noch keine Lösung aufgezeigt haben.

Ich verwende das Modul *node_privacy_byrole*, damit ich bestimmte Nodes nur für reg. Benutzer zugänglich machen kann. Das funktioniert auch wunderbar.
Weiterhin verwende ich die Modul-Kombination *attachment* / *filemanager* anstelle des Moduls upload.

Unter admin/settings habe ich folgendes eingestellt (nur die relevanten):

* Clean Urls: enabled
* Cache support: disabled
* File system path: files
* Temporary directory: /tmp
* Download method: Private

Und unter admin/settings/filemanager habe ich folgendes eingestellt (nur die relevanten):

* public file system path: files_public
* Public file system url: http://domain.de/files_public
* Private file system path: files_private

Die Verzeichnisse sind alle angelegt (Berechtigung: 755).

Wenn ich nun eine Seite oder einen Artikel mit einem Attachment anlege, lautet der Link zu der Datei:
http://domain.de/files_public/active/0/datei.endung

Auf diese Datei kann nun jeder zugreifen, obwohl die Seite/der Artikel nur für reg. Benutzer sichtbar ist. Desweiteren wurde die Datei im Ordner files_public anstatt im files_private abgelegt.

Das ganze teste ich z.Z. an einer frischen Installation von Drupal 4.6.3, bei der ich nur die o.g. Module eingebunden habe.

Habt ihr eine Idee, wie ich es einstelle, dass auch die Attachments bei bestimmten Nodes nur für reg. Benutzer einsehbar sind?

‹ 2 Fragen zum Weblink modul Gästebuch für Drupal 4.6.2 ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Wie kann denn das Atachement

Eingetragen von holger@drupal.org (544)
am 29.08.2005 - 17:03 Uhr

Wie kann denn das Atachement dem nicht registrierten Nutzer angezeigt sein wenn der gesamte Node nur dem registrierten angezeigt wird?
Der Gast kann doch das Atachement gar nicht sehen, oder verstehe ich dein Posting falsch?

mfg holger

ebec.Net ! Blog www.ebec.net | STNetwork.de -- IT Blog www.stnetwork.de

Beste Grüße, Holger

---
IT-News und IT-Jobs auf w3Projekt.com

  • Anmelden oder Registrieren um Kommentare zu schreiben

Ach das habe ich vergessen

Eingetragen von dico (21)
am 29.08.2005 - 17:20 Uhr

Ach das habe ich vergessen zu erwähnen. Der Gast sieht die Seite/den Artikel nicht, aber durch den direkten Link (www.domain.de/files_public/active/0/datei.endung) hat er trotzdem noch Zugriff auf die Datei.

  • Anmelden oder Registrieren um Kommentare zu schreiben

rewrite Regeln anpassen

Eingetragen von micha_1977 (nicht überprüft) (0)
am 29.08.2005 - 18:02 Uhr

das ist mir auch schon aufgefallen, läßt sich aber nicht ohne weiteres ändern

die "privacy" Regeln von Drupal funktionieren, weil der Benutzer, auch Anonyme, sich ja innerhalb des Drupal Systems bewegen
bei einem direkten Zugriff auf ein existierendes File, sind die Benutzer - normalerweise - nicht innerhalb des Drupal Systems, sondern bekommen halt das File

das ist ja auch wünschenswert, z.B. bei .css oder Bildern für das Theme

mögliche Lösungen

- Drupal - Webserver Auth Modul + eine entsprechende .htaccess für dein /files Verzeichnis

- Files wieder direkt in die Datenbank speichern (altes upload Modul)

- Files bei Drittanbieter speichern, Login-Daten sind nur registrierten Benutzern bekannt (das kann auch ein eigener FTP mit shared User Table sein)

MfG Micha
- work in progress mit Langmi.de

  • Anmelden oder Registrieren um Kommentare zu schreiben

Vielen Dank erstmal für

Eingetragen von dico (21)
am 29.08.2005 - 18:38 Uhr

Vielen Dank erstmal für eure Antworten.

Als ich die ersten Schritte mit Drupal gemacht habe, hatte Drupal mal soweit, dass er Datei nach dem Schema files?=datei.endung oder so ähnlich ausgegeben hat. Ich glaube, dass habe ich mit meiner o.g. Modul-Kombination hinbekommen - bin mir da aber nicht mehr sicher, weil ich soviel rum experimentiert habe.

Daher habe ich die Download-Methode (admin/settings) so verstanden, dass Drupal die Datei als Direktlink (domain.de/files/0/datei.endung) liefert - also wo sichtbar ist, in welchem Unterordner von files die Datei abgelegt wurde. Stelle ich die Download-Methode auf privat, liefert Drupal die Datei als files?=datei.endung - wo nicht sichtbar ist, wie die Datei physikalisch abgespeichert wurde.

Mein Wunsch von oben war es daher, dass alle Datei nach dem Schema files?=datei.endung geliefert werden. Dann würde ich den files-Ordner, indem sich die zu schützenden Datei befinden, vor dem direkten Aufrufen schützen.

Ist das evtl. machbar? *hoff*

  • Anmelden oder Registrieren um Kommentare zu schreiben

nicht so einfach

Eingetragen von micha_1977 (nicht überprüft) (0)
am 29.08.2005 - 18:44 Uhr

das "files?=..." Schema schützt ja nicht vor direkten Zugriffen auf das File, intern passiert nichts anderes, als das Drupal den Zugriff auf das entsprechende File umleitet, ... auf das hätte man - sofern man den Link (oder seinen Browser gut) kennt - auch direkt Zugriff

ein kompletter Schutz scheint mir nur über die "alte" Methode der Speicherung von Dateien in der Datenbank möglich (also kein filemanager etc.) oder halt mittels web_auth Modul und entsprechender Einstellunge des Servers

..ich schau mir das morgen nochmal an, vielleicht gibt drupal.org noch was her

MfG Micha
- work in progress mit Langmi.de

  • Anmelden oder Registrieren um Kommentare zu schreiben

Ups, das war in meinem

Eingetragen von dico (21)
am 29.08.2005 - 20:25 Uhr

Ups, das war in meinem letzten Post nicht das beste Deutsch. Das habe ich wohl zu schnell herunter geschrieben.
Dank dir, Micha, schonmal für dein Bemühen. Ich werde mich heute abend mal mit deinen Lösungsansätzen befassen.

Gruß
Christian

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • Schriftgröße standard einstellen
  • PHP 8.1 - Deprecated function: rtrim()
  • Drupal Website gestalten
  • MariaDB 10.6
  • Entity Reference - Title Felder werden als Link angezeigt
  • Tokens werden in Viev als Link angezeigt
  • [bug entdeckt & workaround gefunden] benutzerdefinierte Felder vom Userprofil tauchen ungefragt auch in den Forumtopics auf...
  • [gelöst] Mass contact Empfängerliste nach Taxonomy Term statt Rolle
  • Update V. 9.3.12 auf V. 9.4 mit Fehler: Modul mySQL fehlt. Bitte Hilfe.
  • Sprachpfad, in Drupal Korrekt einstellen, auch bei den Meta-Tags
  • Update von Drupal 9.3 auf 9.4 oder bei 9.3 bleiben
  • Terminverwaltung
Weiter

Neue Kommentare

  • core_version_requirement: ^8
    vor 3 Stunden 18 Minuten
  • core_version_requirement: ^8
    vor 3 Stunden 21 Minuten
  • ok. Wenn ich das mache
    vor 3 Stunden 27 Minuten
  • Bei gleichem Namen hat das
    vor 4 Stunden 11 Sekunden
  • Sorry, dass ich mich hier
    vor 4 Stunden 12 Minuten
  • Habe Patch versucht
    vor 11 Stunden 9 Minuten
  • Hier wird ein Patsch
    vor 12 Stunden 59 Minuten
  • Mit Drupal geht das um 150
    vor 1 Tag 9 Minuten
  • Ah, ok. Wenn es ein Paragraph
    vor 2 Tagen 19 Minuten
  • Also kleiner Nachtrag noch:
    vor 2 Tagen 1 Stunde

Statistik

Beiträge im Forum: 247863
Registrierte User: 19588

Neue User:

  • Tkakah
  • JeraldFub
  • andycrestodina

» Alle User anzeigen

User nach Punkten sortiert:
wla9213
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3845
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 2 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association