Wie verhindern, dass ganzer Pfad nachvollziehbar ist?

Begonnen von deepsleep, 27 Oktober 2004, 21:50:41

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

deepsleep

Hallo Leute

Gut, ich gebe es zu, ich habe wirklich keine Ahnung, in welchem Forum ich diese Frage stellen soll, deshalb mal hier.

Ich habe bei mir festgestellt, dass wenn ich einen Download von meiner Seite mache, dass ich danach die komplette Adresse des Downloads im Adressfeld des IE wieder finden kann. Das ist nicht wirklich gut, da der Downloadbereich nur für Mitglieder ist.

Es könnte nun jemand also ohne weiteres über die Adressliste einen Download von meiner Seite machen, ohne dass er sich dafür angemeldet hat. Das möchte ich eigentlich verhindern.

Nun meine Fragen:

1.) Wie kann ich verhindern, dass sich der IE den ganzen Pfad des Downloads merkt? (Wäre schon mal die erste Hilfe um zu verhindern, dass einer die Logik des Downloadsverzeichnisbaumes nachvollziehen kann.) Ich habe es mal bei Warp-Speed.de versucht, da konnte ich nachher nicht nachlesen, wo dort die Files gespeichert sind. (<-- Sorry, habe gerade gesehen, dass es auch dort nicht anders ist.

2.) Wenn ich das Downloadverzeichnis mit einem Passwort schütze, dann muss doch jeder User auch noch das PW dieses Verzeichnises haben? Oder nicht.

Hat mir da jemand von Euch Cracks eine Lösung?

Gruss
Deepsleep

«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24

hi

schau mal auf nuke-theme.de  :P :P :P

die seite rennt in frame und der download ist über das fetsch-modul geschützt  :P :P

deepsleep

Hallo Jogi24

Habs mal ausprobiert. Leider aber auch da. Einmal gedownloaded und ich finde die komplette URL des Downloads in der Adressleiste wieder. Die ersten paar Buchstaben der URL genügen schon.

Ein weiterer Versuch das selbe Tool downzuloaden funktioniert beim zweiten Mal ohne die Eingabe eines Code (weil ja direkt über die URL).

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24


deepsleep

#4
Hallo jogi24

Klick mal auf diese URL: http://download.ntjhosting.de/downloads/Nuke-Theme/inc_phpBB_Style/ACE-Orange.zip

Das ist das Teil, was ich vorhin aus deiner Seite abgeholt habe. Aber es ist doch schon komisch, dass man seine Downloads zwar nur über Passwort frei gibt (ev. wie Du noch mit einem Code schützt) und sobald Du einmal eins abgeholt hast, hast Du auch bereits den Aufbau deiner Ordnerstruktur. Kommt noch erschwerend dazu, dass Du das File immer wieder abholen kannst, ohne jemals wieder geprüft zu werden, ob Du noch dazu berechtigt bist oder nicht.

Wegen dem Foto: Bin zu Faul um die Kamera zu holen. Aber: Adressleiste im IE (Da wo URLs eingibst)  ;D

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24

hi

es ist nur komisch, das ich da nix sehe, weder im IE , firefox , Mozilla und nessy

deepsleep

Zitat von: jogi24 am 27 Oktober 2004, 23:44:10
hi

es ist nur komisch, das ich da nix sehe, weder im IE , firefox , Mozilla und nessy

Wo siehst Du nix?

Hab mal einen Ausschnitt vom Bildschirm gemacht:



Oder reden wir an einander vorbei?

Fakt ist doch, dass ich die Datei einmal bei Dir gedownloaded habe. Nun könnte es doch sein, dass Du mich als User nicht mehr haben willst, warum auch immer. Du sperrst oder löschst meinen Account bei Dir. Aber an die Datei komme ich ja noch immer dran, obwohl Du ja den Download nur für "Registrierte" freigegeben hast.

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24

hi

habe es soeben vom kumpel testen lassen, un er ha dieses geschrieben

Folgende Ergebnisse hab ich festgestellt:

Im "IE" wenn ich mit über den Link "Datei herunterladen" fahre, sehe ich
kurz unten in der Statuszeile den Link:
http://nuke-theme.de/modules.php?name=Downloads&d_op=getit&lid=1355 wenn
das Javascript nicht gerade läuft!

Im Mozilla "Firefox" sehe ich diesen Link auch nur unten in der
Statuszeile:
http://nuke-theme.de/modules.php?name=Downloads&d_op=getit&lid=1355 aber
da funzt das Javascript mit deiner Reklame auch nicht.

Im "Mozilla" sehe ich ebenfalls den Link nur in der Statuszeile unten.

Mit dem "Opera" kann ich deine Rechtsklicksperre umgehen und dann auf
Link in einem neuen Fenster öffnen klicken, danach wird mir auch dieser
Link oben in der Browserzeile angezeiht
http://nuke-theme.de/modules.php?name=Downloads&d_op=getit&lid=1355

es ist ja auch fast unmöglich da ja nur der frame geladen wird ,  oder du hast super einstellungen in deinem browser , der den frame umgeht !!!!!

also muss ich noch was gemeines einbauen, damit das nicht mehr passiert, weiss zwar noch nicht was, aber da fällt mir bestimmt noch was ein  :P :P :P

deepsleep

Uff, und ich dachte schon, es liegt an mir...

Aber um die URL heraus zu finden, musste ich noch nicht mal lange suchen. Guckst Du Bild unter VON:



Der Rest war ja dann wirklich nur noch eingeben von download.ntj um dann zu diesem Ergebnis zu kommen:



Also keinen super Browser, keine Hacker-Tools...
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24

hi

das wird mir wieder schlaflose nächte bereiten    :crazy: :nacht: :wall: :knockout:

deepsleep

Na, dann gehts Dir nicht anders als mir :)

Geteiltes Leid, ist halbes Leid.
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

deepsleep

Nur mal so als Gedankenansatz.

Wenn ich alle Downloads in ein Verzeichnisstelle, dass mit einem Passwort geschützt ist, dann müsste man doch bestimmt das Download-Modul so umbauen können, dass es das PW übergibt, so, dass die Datei gezogen werden kann.

Probiert jetzt einer mit der URL das File direkt zu ziehen, scheitert er an der Passwortabfrage des Verzeichnisses.

Nur, wie kann man so was realisieren?

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

Homicide

hmm stimmt ich habs grade auch mal getestet.
nachdem der Download fertig ist kann man ohne weiteres die URL im Browser abrufen.

Ganz blödes ding :)

Um das zu umgehen könnte man den Downloadbereich dahingehend abändern das man das File auswählen kann
und es einem dann per mail zugeschickt wird. So bleibt zum einen der reale speicherort unbekannt und zum anderen
hat man noch eine kontrolle wer sich was gezogen hat weil ohne seine Mailadresse kriegt ja dann keiner was.


jogi24

hi

auch nicht schlecht, aber wie setzt man das um ?????

nein heute nicht mehr, das sind aufgaben für einen klaren kopf  :crazy:

Homicide

es gibt schon fertige classes für Mailattachments, machbar ist das sicher.
ich hab sowas mal für nen Kunden gemacht der so PDF Dateien verschickt hat.
mal sehen ob ich den Kram noch finde, dann läßt sich das sicher auch auf den Downloadbereich anpassen.
Aber erstmal ne mütze schlaf :)

deepsleep

#15
Keine schlechte Idee. Besser fände ich es trotzdem, wenn man sich die Files nicht zuerst noch mit Mail zusenden lassen müsste.

Nur so als Beispiel: Bei uns in der Firma werden Mails auf Dateianhänge gescannt. Und der Mailsweeper lässt nun mal einen Grossteil der Dateianhänge nicht durch. Noch nicht mal ftp:// ist bei uns offen. Download kann ich wirklich nur über http:// machen.

Klar, PDFs wären kein Problem, aber ich habe eben nicht nur die im Downloadbereich. Abgesehen davon, kann ich PDFs dann nicht mehr Ťonlineť anschauen und ausdrucken. Ich muss also zwingend auch einen Mailclient oder Webmail zur Verfügung haben.

Es muss doch möglich sein, den Downloadpfad zu verstecken oder das Modul so zu programmieren, dass es das Passwort an das Verzeichnis übergibt. Hoffe ich auf jeden Fall. Mit einem geschützten Ordner wäre man auf jeden Fall auf der sicheren Seite.

Gruss und schon mal Dank an alle Helfer und kreativen Köpfe.

Deepsleep


PS: Ich liebe dieses Forum. Lauter gute Leute hier!!!
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jubilee

Hallo !
Das müsste sich auch über php realisieren lassen.
Dort kann ich mit einem gesendeten (raw) http-Header ein Attachment anhängen. Also
einen Dateianhang. In dem Fall weiss eigentlich nur das Script, wo das File liegt.
Sollte dann im Browser keine Adresszeile zu sehen sein. (Hab das mal für die My_eGallery gebastelt um die Bilder
als ZIP-datei runterzuladen obwohl die nicht gezippt vorliegen. Das zip-Script sendet dann nach den Packen auch einen
raw-Header sammt angehängter ZIP-Datei.
Muss ich mal ausprobieren ob es funktioniert.
MfG
jubilee

xyox2

#17
ja , klarr geht das.

das mache ich mit den Window-Tools , da kann man an die zip sogar noch prarameter übergeben ...  denn es sieht zwar aus als rufe man eine zip-file auf ( man bekommt auch eine ) nur wird diese vom Programm ( welches mit .zip endet -> Tomcat ) erst erstellt.

beim Download sieht man keinen Path sondern nur den Namen der zip-File   :D


Gruss Steffen

(zu bewundern ist das ganze auf der hier nicht so gern gennaten WEB-Site von mir )

jubilee

Zitatja , klarr geht das.
Jo, hab ich mir auch so gedacht.
Ist also kein besonders großer Aufwand, einen "Übersetzer" in php zu schreiben der die
Downloads verschleiert.
Zitatdas mache ich mit den Window-Tools
Jo, für das zippen selbst hab ich eine php-Klasse die wunderbar arbeitet.
MfG
jubilee



xyox2

ich nutze java.util.zip , sicherlich kann die php class das gleiche 

jogi24

hi

und wie setzt das nun ein normaler user das ein auf seiner seite ???

@jubilee

hilf mir bitte , ich bin doch ploooooond  !!!

deepsleep

Nett, da habe ich ja wieder mal was angerissen ;)

Mir dann unbedingt auch sagen, wie das geht. Bin geistig auch blond (für anderes fehlen mir langsam die Haare).

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

jogi24

#22
hi
@deepsleep

das ist viel schlimmer als wir dachten, der pfad liegt richtig offen vor, will es nur hier nicht posten !!!


:P :P :P  was sind haare, davon träum ich schon lange nicht mehr

deepsleep

Ups, das tönt ja schlimm. Gut, dann warte ich mal ab und harre da der Dinge, die noch kommen werden.

Gruss
Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams

dionarakco

man könnte ja die downloadfiles in ein webmässig nichtveröffentlichtes verzeichnis stecken,  sie von dort durch ein php script holen lassen und temporär zum download anbieten (server freut sich seine festplatte zu jagen) , und das php script unterscheidet die userrechte, wer ihn ausführen kann.   d.h. es muss eine liste ein abbild der nichtveröffentlichten downloads enthalten und als auswahl anzeigen, wenn man eins anklickt, springt das php script an und weist entweder ab, oder führt die operation durch, und weiss wo die datei liegt :-)  Um diese Inhaltsliste nicht manuell zu erstellen, müßte man schon was neu kodieren.  Da die links temporär werden, exisieren sie nachher nicht mehr, php script löscht wieder  - und erhalten irgendwelche verrückte generierte nummer angehängt. 

statt die datei physisch zu übertragen könnte man auch temporär das verzeichnis "veröffentlichen", aber es kann so schnell nicht jeder die appache änderungen wirksam und unwirksam machen, und bei vielen downloadern wäre er ständig veröffentlicht. 

oder bin isch blond?   :D

Musicman75

also ich denke, das problem wäre am einfachsten über einen htaccess verzeichnisschutz zu realisieren.

ich hätte da allerdings noch eine ganz andere idee, wäre allerdings ein ganz neues Modul.
Von der Funktionsweise so ähnlich wie bei den Bildern im LinkMe modul.

Über den Adminbereich kann man Kategorien und Unterkategorien anlegen, wo bei dann jeweils ein Ordner
angelegt wird, in den dann gleich eine htaccess Datei reinkommt um diesen zu schützen.
Die Files für den Download können per Webinterface oder per ftp hochgeladen werden und
das Downloadscript listet automatisch die Files aus den Ordnern in den Kategorien auf, weist jedem File eine ID
zu damit die Zugriffe dann in der Datenbank gespeichert werden können.
Wenn man dann viele Downloads auf einmal einfügen will, brauch man auch nicht jeden einzeln eintragen.
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jogi24

hi

die ideen sind ja alle gut,

aber  man braucht sowas mal zum testen, leider bin ich zu ploooont um sowas zu proggen    :P :P :P

Musicman75

das geht auch über meinen horizont - aber ich denke für nen erfahrenen progger ist das kein problem
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

Musicman75

wie ist das eigentlich, wenn man die datei aus einer ftp verbindung senden lässt?
wird dann auch der pfad mit übertragen?
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

Hallo !
Zitatund wie setzt das nun ein normaler user das ein auf seiner seite

@jubilee

hilf mir bitte , ich bin doch ploooooond  !!!
Jaja, keine Panik. Ich bastel mal etwas zusammen, damit man sehen kann wie das funktioniert.
MfG
jubilee

jubilee

Hallo !
So, da es sich hier ja wahrscheinlich um das integrierte Downloadmodul handelt,
gebe ich hier mal die modifikation für dieses Modul an :
modules/Downloads/index.php ab ca. Zeile 1190 (function getit() )
alt :
Zitat
function getit($lid) {
    global $prefix;
    $lid = (int)$lid;  // by AE
    sql_query("update ".$prefix."_downloads_downloads set hits=hits+1 where lid=$lid");
    $result = sql_query("select url from ".$prefix."_downloads_downloads where lid=$lid");
    list($url) = sql_fetch_row($result);
    Header("Location: $url");
}
   
neu :
Zitat
function getit($lid) {
    global $prefix;
    ini_set("allow_url_fopen","On"); // Falss deaktiviert
    $lid = (int)$lid;  // by AE
    sql_query("update ".$prefix."_downloads_downloads set hits=hits+1 where lid=$lid");
    $result = sql_query("select url from ".$prefix."_downloads_downloads where lid=$lid");
    list($url) = sql_fetch_row($result);
    $filenam = basename($url); //NUR den Filenamen zum Speichern
    $fp = fopen($url, 'rb'); //Öffnen der Datei deswegen auch allow_url_fopen falls auf anderem Server liegend...
    header("Cache-control: private"); // fix for IE
    header("Content-type: application/octet-stream"); //bin-Files
    header("Content-disposition: attachment; filename=".$filenam.""); //Downloadfenster erzwingen
    fpassthru($fp); // senden des Fileinhalts an den Browser
    ini_restore("allow_url_fopen"); //allow_url_fopen wieder zurücksetzen auf originalkonfig
}
o.k.
So sollte es eigentlich funktionieren .....
MfG
jubilee

jubilee

Ähhhh ja...
Nochwas .....
Die Funktion fpassthru DARF NICHT gesperrt sein.
Sonst funktioniert das obige Beispiel natürlich nicht !
(Also evt. Probs bei Webspace von levanzo, da das dort gesperrt ist .... )

MfG
jubilee

jogi24

Zitat von: jubilee am 02 November 2004, 12:35:21

(Also evt. Probs bei Webspace von levanzo, da das dort gesperrt ist .... )


:P :P :P  du kanst  levanzo scxhreiben ???   enorm

dein geproggtes teil rennt und rennt und rennt

super  :thumbup:

dank für deine mühe

deepsleep

Jo jubilee

HAMMER! Funktioniert wie gedacht. Super.

Wär das nicht was für in die offizielle Version vom vmpMX. Glaube, da wäre keiner böse, wenn das schon von Anfang an eingebaut wäre.

1000 Dank und Gruss

Deepsleep
«Der beliebteste Fehler unter den Leuten, die etwas absolut idiotensicheres konstruieren wollen ist der, dass sie den Erfindungsreichtum von absoluten Idioten unterschätzen.»
Douglas Adams