Sicherheitsproblem!
Eingetragen von Jenzen (216)am 28.01.2008 - 10:01 Uhr in
Hallo zusammen,
ich habe folgendes Problem und weiß nicht wie ich es lösen kann :-( :
Wenn ich im Browser folgenden Pfad eingebe bekomme ich das Bild angezeigt, dies möchte ich unterbinden!!
http://www.meineseite.de/files/test.jpg
Nun habe ich die Download-Methode von "öffentlich" auf "privat" gestellt. Leider bekomme ich das Bild immer noch angezeigt wenn ich den Pfad eingebe und es kommt zu weiteren Problemen!
-Folgender Fehler wird mir im Statusbericht angezeigt:
"Imagecache will not operate properly using Private Files. Please enable Public File Transfer."
-Zudem werden mir die Userphotos nicht mehr angezeigt!
ich arbeite mit einer "user_profile.tpl" und habe dort z.B. den Befehl "
<?php
if($user->picture) {print theme('user_picture', $user);}
?>" um Userphotos anzuzeigen"
Lösungen?!:
- um das jeweilige Bild nicht mehr anzeigen lassen zu können muss ich den "Dateisystem-Pfad:" wohl ändern. Weiß aber nicht so recht in welcher Ebene der Ordner dann liegen muss etc.
Es ist mir sehr wichtig dieses Problem zu lösen, würde mich freuen wenn mir jemand dabei helfen würde!
Gruß, der Jenzen!!
- Anmelden oder Registrieren um Kommentare zu schreiben
.haccess
am 28.01.2008 - 11:29 Uhr
Gibt es evtl. eine Möglichkeit die Bilder mit der ".htaccess" zu schützen?
http://www.drupalcenter.de/node/1932
Habe einwenig rumprobiert aber leider noch ohne Ergebnis!
Wenn ich einen anderen Ordner anlege der nicht im Drupalverzeichnis liegt sondern in der "www-Ebene" muss ich welchen Dateisystem-Pfad angeben? Und wie bekomme ich folgende Einstellung hin "Ein Dateisystempfad, indem die Dateien gespeichert werden. Das Verzeichnis muss vorhanden und von Drupal beschreibbar sein."?
Jenzen schrieb Nun habe ich
am 28.01.2008 - 14:18 Uhr
Nun habe ich die Download-Methode von "öffentlich" auf "privat" gestellt. Leider bekomme ich das Bild immer noch angezeigt wenn ich den Pfad eingebe
Die Doku sagt aber auch klar aus, dass es mehr bedarf als nen Mausklick. Du musst das files-Verzeichnis an einen nicht öffentlichen Ort (auf den der Webserver keinen Zugriff hat) verschieben, also irgendwohin außerhalb des Root-Ordners vom Webserver. Durch die direkte Angabe einer URL im Browser umgehst du ja das CMS komplett, welchen Einfluss sollte Drupal da also noch ausüben?
--
"Look, Ma, I'm dead!"
Cell, Stephen King
Jenzen schrieb
am 28.01.2008 - 14:20 Uhr
Wenn ich einen anderen Ordner anlege der nicht im Drupalverzeichnis liegt sondern in der "www-Ebene" muss ich welchen Dateisystem-Pfad angeben?
Den kompletten Pfad eben. Der ist systemabhängig. Ggf. Hoster fragen.
Und wie bekomme ich folgende Einstellung hin "Ein Dateisystempfad, indem die Dateien gespeichert werden. Das Verzeichnis muss vorhanden und von Drupal beschreibbar sein."?
Die Rechte des Ordners per FTP Client auf 777 stellen (chmod).
--
"Look, Ma, I'm dead!"
Cell, Stephen King
Thanks!
am 28.01.2008 - 16:08 Uhr
Hallo,
danke für die Antwort!
Ich habe ein Verzeichnis auserhalb des Root-Ordners angelegt und den Pfad im Dateisystem angegeben. Das nächste hochgeladene Bild wurde auch dort abgespeichert, doch leider wurde es mir Nachher nicht angezeigt (z.B. Inhaltstyp "Bilder" mit Typ image). Liegt wahrscheinlich daran das die Rechte noch mit 775 vergeben sind und nicht mit 777. Werde das Nachher nochmal ausprobieren oder könnte das auch einen anderen Grund haben?
Wenn ich unter "admin/user/settings" den "Pfad zu den Benutzerbildern:" so lassen und einen entsprechenden Ordner in dem "neuen" Pfad anlege müssten die Userphotos doch dort abgespeichert werden, oder?
Meine Frage: wenn das soweit funktioniert, liest die "user_profile.tpl" mit dem Befehl "
<?phpif($user->picture) {print theme('user_picture', $user);}
?>
" den Ordner aus und zeigt die Bilder an?
Danke für die Hilfe!
Gruß, der Jenzen!