Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Module ›

Wie schützte ich Attachments?

Eingetragen von dico (21)
am 29.08.2005 - 16:55 Uhr in
  • Module

Hallo,

ich hoffe ihr könnt mir weiterhelfen, da ich so langsam an meiner Aufgabenstellung verzweifele. Im Drupal.org-Forum gibt es zwar ähnliche Threads, die mir bislang noch keine Lösung aufgezeigt haben.

Ich verwende das Modul *node_privacy_byrole*, damit ich bestimmte Nodes nur für reg. Benutzer zugänglich machen kann. Das funktioniert auch wunderbar.
Weiterhin verwende ich die Modul-Kombination *attachment* / *filemanager* anstelle des Moduls upload.

Unter admin/settings habe ich folgendes eingestellt (nur die relevanten):

* Clean Urls: enabled
* Cache support: disabled
* File system path: files
* Temporary directory: /tmp
* Download method: Private

Und unter admin/settings/filemanager habe ich folgendes eingestellt (nur die relevanten):

* public file system path: files_public
* Public file system url: http://domain.de/files_public
* Private file system path: files_private

Die Verzeichnisse sind alle angelegt (Berechtigung: 755).

Wenn ich nun eine Seite oder einen Artikel mit einem Attachment anlege, lautet der Link zu der Datei:
http://domain.de/files_public/active/0/datei.endung

Auf diese Datei kann nun jeder zugreifen, obwohl die Seite/der Artikel nur für reg. Benutzer sichtbar ist. Desweiteren wurde die Datei im Ordner files_public anstatt im files_private abgelegt.

Das ganze teste ich z.Z. an einer frischen Installation von Drupal 4.6.3, bei der ich nur die o.g. Module eingebunden habe.

Habt ihr eine Idee, wie ich es einstelle, dass auch die Attachments bei bestimmten Nodes nur für reg. Benutzer einsehbar sind?

‹ 2 Fragen zum Weblink modul Gästebuch für Drupal 4.6.2 ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Wie kann denn das Atachement

Eingetragen von holger@drupal.org (544)
am 29.08.2005 - 17:03 Uhr

Wie kann denn das Atachement dem nicht registrierten Nutzer angezeigt sein wenn der gesamte Node nur dem registrierten angezeigt wird?
Der Gast kann doch das Atachement gar nicht sehen, oder verstehe ich dein Posting falsch?

mfg holger

ebec.Net ! Blog www.ebec.net | STNetwork.de -- IT Blog www.stnetwork.de

  • Anmelden oder Registrieren um Kommentare zu schreiben

Ach das habe ich vergessen

Eingetragen von dico (21)
am 29.08.2005 - 17:20 Uhr

Ach das habe ich vergessen zu erwähnen. Der Gast sieht die Seite/den Artikel nicht, aber durch den direkten Link (www.domain.de/files_public/active/0/datei.endung) hat er trotzdem noch Zugriff auf die Datei.

  • Anmelden oder Registrieren um Kommentare zu schreiben

rewrite Regeln anpassen

Eingetragen von micha_1977 (nicht überprüft) (0)
am 29.08.2005 - 18:02 Uhr

das ist mir auch schon aufgefallen, läßt sich aber nicht ohne weiteres ändern

die "privacy" Regeln von Drupal funktionieren, weil der Benutzer, auch Anonyme, sich ja innerhalb des Drupal Systems bewegen
bei einem direkten Zugriff auf ein existierendes File, sind die Benutzer - normalerweise - nicht innerhalb des Drupal Systems, sondern bekommen halt das File

das ist ja auch wünschenswert, z.B. bei .css oder Bildern für das Theme

mögliche Lösungen

- Drupal - Webserver Auth Modul + eine entsprechende .htaccess für dein /files Verzeichnis

- Files wieder direkt in die Datenbank speichern (altes upload Modul)

- Files bei Drittanbieter speichern, Login-Daten sind nur registrierten Benutzern bekannt (das kann auch ein eigener FTP mit shared User Table sein)

MfG Micha
- work in progress mit Langmi.de

  • Anmelden oder Registrieren um Kommentare zu schreiben

Vielen Dank erstmal für

Eingetragen von dico (21)
am 29.08.2005 - 18:38 Uhr

Vielen Dank erstmal für eure Antworten.

Als ich die ersten Schritte mit Drupal gemacht habe, hatte Drupal mal soweit, dass er Datei nach dem Schema files?=datei.endung oder so ähnlich ausgegeben hat. Ich glaube, dass habe ich mit meiner o.g. Modul-Kombination hinbekommen - bin mir da aber nicht mehr sicher, weil ich soviel rum experimentiert habe.

Daher habe ich die Download-Methode (admin/settings) so verstanden, dass Drupal die Datei als Direktlink (domain.de/files/0/datei.endung) liefert - also wo sichtbar ist, in welchem Unterordner von files die Datei abgelegt wurde. Stelle ich die Download-Methode auf privat, liefert Drupal die Datei als files?=datei.endung - wo nicht sichtbar ist, wie die Datei physikalisch abgespeichert wurde.

Mein Wunsch von oben war es daher, dass alle Datei nach dem Schema files?=datei.endung geliefert werden. Dann würde ich den files-Ordner, indem sich die zu schützenden Datei befinden, vor dem direkten Aufrufen schützen.

Ist das evtl. machbar? *hoff*

  • Anmelden oder Registrieren um Kommentare zu schreiben

nicht so einfach

Eingetragen von micha_1977 (nicht überprüft) (0)
am 29.08.2005 - 18:44 Uhr

das "files?=..." Schema schützt ja nicht vor direkten Zugriffen auf das File, intern passiert nichts anderes, als das Drupal den Zugriff auf das entsprechende File umleitet, ... auf das hätte man - sofern man den Link (oder seinen Browser gut) kennt - auch direkt Zugriff

ein kompletter Schutz scheint mir nur über die "alte" Methode der Speicherung von Dateien in der Datenbank möglich (also kein filemanager etc.) oder halt mittels web_auth Modul und entsprechender Einstellunge des Servers

..ich schau mir das morgen nochmal an, vielleicht gibt drupal.org noch was her

MfG Micha
- work in progress mit Langmi.de

  • Anmelden oder Registrieren um Kommentare zu schreiben

Ups, das war in meinem

Eingetragen von dico (21)
am 29.08.2005 - 20:25 Uhr

Ups, das war in meinem letzten Post nicht das beste Deutsch. Das habe ich wohl zu schnell herunter geschrieben.
Dank dir, Micha, schonmal für dein Bemühen. Ich werde mich heute abend mal mit deinen Lösungsansätzen befassen.

Gruß
Christian

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • erfahrung mit dem Modul script manager
  • Verständnisfrage private_files in Drupal
  • [erledigt]MP3 in Drupal 10 einbinden
  • HTML oder JS Code wird nicht ausgeführt
  • Posts von einem Inhaltstyp in einen anderen verschieben
  • Mysql Ver 8.0.41 zu MariaDB 10.11.11
  • DrupalCamp Ruhr 12. / 13. September in Essen!
  • [gelöst]Zugriff auf inhaltstyp für angemeldete Benutzer wird verweigert
  • Word DOC Export Modul/Funktion gesucht
  • W3CSS Paragraphs Views
  • Advertising Modul gesucht
  • Drupal 11 neu aufsetzen und Bereiche aus 10 importieren
Weiter

Neue Kommentare

  • dinmikkith schrieb JavaScript
    vor 1 Woche 1 Tag
  • Ex- und Import nutzen
    vor 1 Woche 3 Tagen
  • cut&paste lässt sich automatisieren
    vor 1 Woche 3 Tagen
  • geht, soweit mir bekannt, nur
    vor 1 Woche 4 Tagen
  • Inkompatibilität zwischen MySQL u. MariaDB sowie SQL-Basiswissen
    vor 1 Woche 4 Tagen
  • JavaScript gehört in Drupal
    vor 1 Woche 4 Tagen
  • JavaScript gehört in Drupal
    vor 1 Woche 4 Tagen
  • Ich würde mich an die beiden
    vor 3 Wochen 2 Tagen
  • @dinmikkith leider
    vor 3 Wochen 3 Tagen
  • Da gibt's schon was. Ich
    vor 3 Wochen 3 Tagen

Statistik

Beiträge im Forum: 250016
Registrierte User: 20329

Neue User:

  • antidetect-browser25
  • freundbs
  • Lorydom

» Alle User anzeigen

User nach Punkten sortiert:
wla9455
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3855
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 16 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association