Nutzerabhängiger Zugriff auf Nodes-Anhänge
Eingetragen von j.zimm (22)am 24.01.2008 - 00:04 Uhr in
Hi,
den Zugriff auf Nodes kann man mit nodeaccess steuern, die Menüpunkte mit Menu per Role nutzerabhängig anzeigen lassen. Soweit so gut. Nun sind aber den Beiträgen Anhänge angefügt, z. B. PDF's. Diese liegen einfach unter /files. Ein unberechtigter Nutzer kann durch Eingabe des vollständigen URL', z. B. http://site.de/files/interna.pdf diese trotzdem laden.
Nun könnte ich files mit einer .htaccess schützen oder die Dateien in einem anderen mit .htaccess geschützten Verzeichnis ablegen. Dann müsste sich aber auch der bereits angemeldete Nutzer nochmals anmelden. Gibt es dazu eine elegantere Lösung?
Viele Grüße
Jürgen
- Anmelden oder Registrieren um Kommentare zu schreiben
Re: Nutzerabhängiger Zugriff auf Nodes-Anhänge
am 24.01.2008 - 19:39 Uhr
Ein unberechtigter Nutzer kann durch Eingabe des vollständigen URL', z. B. http://site.de/files/interna.pdf diese trotzdem laden. ... Gibt es dazu eine elegantere Lösung?
Du kannst unter
admin/settings/file-systemdie Download-Methode auf Private setzen. Dann bekommst du aber evtl. Probleme mit ZIP-Dateien und Internet Explorer 6, zumindest solange Issue 213262 nicht repariert ist.Dazu auch gleich ein Aufruf: weiß jemand, wie man http://support.microsoft.com/kb/308090 serverseitig verhindern kann? Ich habe an Content-Disposition gedacht, tut's aber nicht solange man sich an RFC 2183 hält.
--
Re: Nutzerabhängiger Zugriff auf Nodes-Anhänge
am 26.01.2008 - 13:22 Uhr
Vielen Dank an traxer!
Das funktioniert erstmal ganz gut und sollte für unsere Zwecke auch reichen. Aber sicher ist das auch nicht, weil die Anhänge zwar ohne Anmeldung nicht mehr über den Link auf der Seite direkt runtergeladen werden können, wohl aber über das Verzeichnis files.
Der Link auf der Seite funktioniert ohne Berechtigung nicht:
http://site.de/?q=system/files/interna.pdf
Wenn sich jemand bissel auskennt kommt er trotzdem noch an die Datei:
http://site.de/files/interna.pdf
Man bräuchte ein zweites Upload-Verzeichnis auf das nur authorisierte Nutzer zugreifen können. Ist eigentlich die Drupal-Anmeldung für geschützte Verzeichnisse (.htaccess) nutzbar? Bei meinem Provider all-inkl.com funktioniert es jedenfalls nur mit nochmaliger Anmeldung.
mfg
Jürgen
j.zimm schrieb Vielen Dank
am 26.01.2008 - 13:30 Uhr
Vielen Dank an traxer!
Das funktioniert erstmal ganz gut und sollte für unsere Zwecke auch reichen. Aber sicher ist das auch nicht, weil die Anhänge zwar ohne Anmeldung nicht mehr über den Link auf der Seite direkt runtergeladen werden können, wohl aber über das Verzeichnis files.
Weswegen es in der Doku auch heißt, dass das Verzeichnis außerhalb des öffentlichen Web-Ordners gehört oder wenigstens über eine .htaccess vor direktem Zugriff geschützt werden sollte.
--
"Look, Ma, I'm dead!"
Cell, Stephen King
ein verzeichnis schützen
am 01.02.2008 - 15:18 Uhr
ein verzeichnis schützen ist ja nciht das gleiche, wie eine datei vor unerlaubtem zugriff zu bewahren, oder?
wie kann ich denn z.b. ein verzeichnis so schützen, dass alle dateien nur vom server selbst gehandelt werden können, also uploads per drupal möglich sind und downloads nur über skriptaufrufe funktionieren?
Re: ein verzeichnis schützen
am 01.02.2008 - 16:10 Uhr
.htaccess:Deny from all--
Re: ein verzeichnis schützen
am 10.02.2008 - 00:22 Uhr
Funktioniert, hab's gerade probiert. Nur das halt die Grafiken, die leider auch in /files stehen und im Theme eingebunden sind auch nicht mehr erscheinen. Aber wenn man's sauber trennt ist es eine sichere Lösung.
Jürgen