Download-Modul (Linksteal-Verhinderung)

Begonnen von splitterman, 09 Januar 2005, 10:26:35

⏪ vorheriges - nächstes ⏩

0 Mitglieder und 1 Gast betrachten dieses Thema.

splitterman

Pragma ist einfach wunderbar, nur einen Nachteil hat es leider immer noch wie alle anderen Nuke-Systeme ... die Downloads könenn verlinkt werden und auch Google ist da eifrig am indezieren ...
daher die einfache anfrage, ob es irgendwie möglich ist, die downloads offen zu halten, aber trotzdem zumindest den Besuch auf der Seite zu erzwingen?

Bisher helfen wir uns immer damit den Download neu in die Datenbank einzutragen und auf der alten Datenbankposition eine Linksteal-Datei einzublenden, aber irgendwie kann das doch nicht die Lösung sein?

Ich weiß zwar nicht wie es bei anderen ist, aber bei unserem Einsatz von Pragma (www.sunshine-sounds.net) kann dieses teilweise sehr hinderlich sein

jubilee

Hallo !
Zitatdie Downloads könenn verlinkt werden und auch Google ist da eifrig am indezieren ...
Die Datei robots.txt editieren und das indizieren von Suchrobotern für die Downloads verbieten

Es gibt da eine Möglichkeit.
Das CAPTCHA (Completely Automated Public Turing to tell Computers from Humans Apart). D.H. Es muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.

Eine andere Möglichkeit (theoretisch) wäre den HTTP_REFERER auszuwerten. Der müsste dann in jedem Fall von der lokalen Maschine kommen um den Download freizugeben.

MfG
jubilee

splitterman

Zitat von: jubilee am 09 Januar 2005, 10:50:46
Die Datei robots.txt editieren und das indizieren von Suchrobotern für die Downloads verbieten
Sicher eine Möglichkeit, aber für die deeplinks doch eher nicht die lösung ... weil wenn schon, dann wäre eine Kombilösung nicht schlecht

ZitatEs gibt da eine Möglichkeit.
Das CAPTCHA (Completely Automated Public Turing to tell Computers from Humans Apart). D.H. Es muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.
auch nicht so der bringer (zumindest bei uns - einfachheit und schnelligkeit ist oberstes Gebot)
Zitat
Eine andere Möglichkeit (theoretisch) wäre den HTTP_REFERER auszuwerten. Der müsste dann in jedem Fall von der lokalen Maschine kommen um den Download freizugeben.
hm ... das wäre eine Möglichkeit, aber wie bekomme ich das hin? ... und vor allem ... wie schaffe ich es dann dem "Besucher" des Steals eine Hinwiesseite zu präsentieren?

Bei der Auswertung scheitern meine eigenen PHP-Kenntnisse leider

jubilee

Hallo !
Zitathm ... das wäre eine Möglichkeit, aber wie bekomme ich das hin? ... und vor allem ... wie schaffe ich es dann dem "Besucher" des Steals eine Hinwiesseite zu präsentieren?
Naja, das muss ich selbst erstmal ausprobieren.
Problem bei dem HTTP_REFERER könnte sein, das evt nicht alle Clienten diesen im Request mitsenden
(bzw. eine Clients auch die Möglichkeit bieten diesen zu deaktivieren).
Was dann dazu führen würde das diese Requests dann abgewiesen würden.


Muss ich mal etwas damit experimentieren.
MfG
jubilee

splitterman

Zitat von: jubilee am 09 Januar 2005, 12:19:51
Naja, das muss ich selbst erstmal ausprobieren.
Problem bei dem HTTP_REFERER könnte sein, das evt nicht alle Clienten diesen im Request mitsenden
(bzw. eine Clients auch die Möglichkeit bieten diesen zu deaktivieren).
Was dann dazu führen würde das diese Requests dann abgewiesen würden.

wäre alternativ nicht irgendwie eine Möglichkeit über Java denkbar?

Musicman75

oder über ne htaccess, dass über php ne authentifizierung erfolgt.
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

Zitatwäre alternativ nicht irgendwie eine Möglichkeit über Java denkbar?
Die Frage ist ja nicht "wie prüfen" sondern eher "auf was prüfen".
Was unterscheidet einen Request der von einem user ausgeführt wird, der sich auf der lokalen Seite befindet
von dem Request eines Users, der diesen von einer anderen Seite aus absendet ?
Eigentlich ist da nur der Referer.
Man kann natürlich auuch Konstrukte erstellen die bestimmte Werte setzten so das diese nur present
sind wenn der User auch auf der Seite verweilt.
Einiges in dieser Art verwenden wir auch für unsere Sicherheitsfunktionen.
Evt. ist da auch der richtige Ansatz
...

splitterman

Zitat von: jubilee am 09 Januar 2005, 12:31:17
Man kann natürlich auuch Konstrukte erstellen die bestimmte Werte setzten so das diese nur present
sind wenn der User auch auf der Seite verweilt.
Einiges in dieser Art verwenden wir auch für unsere Sicherheitsfunktionen.
Evt. ist da auch der richtige Ansatz
...
Oder man erstellt irgendwie eine Funktion die dann durch das anklicken des bisherigen Downloadlinks den download mehr oder weniger freigibt ... ohne dass der Nukelink (für Insider) weiterhin funktionieren würde ... ao als Vorschlag von mir noch in die Runde ... also Ersetzen des Nukelinks (der einfach für diese Art finde ich zu anfällig ist, da man hier mittels skripten auch schnell alle Downloads, ohne die Seite besuchen zu müssen abgrasen kann ... und mit schnellen Anbindungen kann man hier auch schnell eine Seite mit größerem Downloadbereich ... nicht nur lahmlegen, sondern auch Trafficmäßig enorm belasten)

Andi

Moin :)

ZitatEs muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.
in dem Download-Modul, welches mit mX 2.2 kommt ist das eingebaut.

Ansonsten will ich (oder du Jubilee ?) hier mal im SMF Board nachsehen, wie das da mit den Anhängen gelöst ist. Scheint mir sehr brauchbar zu sein.
schön´s Grüssle, Andi

jogi24

hi

oder schaut mal auf nuke-theme.de, da rennt der fetch-mod in der 2.1a  :P :P :P

Andi

Hmmm, stimmt Jogi, du hattest das schonmal reingebastelt.
Kannst das nicht vorab als Download anbieten?
Das Modul von 2.2 läuft i.M. noch nicht im 2.1 und wird noch dauern.....
schön´s Grüssle, Andi

Biker

Zitatn dem Download-Modul, welches mit mX 2.2 kommt ist das eingebaut.

Geile Sache! Find ich sehr gut!  :thumbup: :thumbup: :thumbup:
Detektei Martin - wir bringen Licht ins Dunkle!

jogi24

hi

@Tora

hast mich wie immer überredet. :P :P

die geänderten dateien liegen auf meiner seite im download !!!

Fetch-mod und die versteckte Download-URL sind eingebaut

Musicman75

Hallo jogi,

kannst Die datei noch hier an deinen beitrag anfügen?

Danke
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

jubilee

#14
Hallo !
Wenn das Verstecken der Download-URL noch immer auf dem von mir mal geposteten
Code (wird auch im Downloadmodul hier auf der Hauptseite verwendet) aufbaut, muss der evt. nochmal angepasst werden. Ich habe kürzlich noch eine kleine Fehlerquelle gefunden die dafür sorgt, das auch nichtvorhandene Dateien korrekt als download angeboten werden. Nur ist die Datei bzw. das Archibv anschließend halt leer.
Ich schau mir das mal an und poste evt. eine Berichtigung falls noch der alte code verwendet wird.
MfG
jubilee

Musicman75

Hallo,

ich habe das ganze mal installiert. Nach Eingabe des Codes wird das hier angezeigt:

Warning: Failed opening 'mainfile.php' for inclusion (include_path='.:/usr/share/php') in /home/www/web1/html/main/includes/fetch.php on line 3

Fatal error: Call to undefined function: sql_query() in /home/www/web1/html/main/includes/fetch.php on line 13

? ? ? ?
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

adonis

Hallo,

kopier die fetch.php ins root. Gehe nach modules/Download. Editiere die index.php ca. Zeile 1220 oder suche nach fetch.php und mach das includes/ vor weg. Fertisch.

Gruss, Peter

wow, hört sich an wie gehe nich über Los ziehe nicht....
die SUCHE hier im Forum existiert und funktioniert auch ...

jubilee

Hallo !
Oder editiere die fetch.php zeile 13
--> include("../../mainfile.php");
BTW:
Die fetch.php kann DIREKT aufgerufen werden, ohne das das Portal geladen sein muss.
Es sind reichlich frei zugänliche Variablen drinne , die nicht initial gesetzt werden.
Das ist das beste Script um jemanden zum XSS-Hacken bzw. auch zum SQL-Inject Hacken einzuladen.
Das MUSS unbedingt überarbeitet werden sonst habt Ihr ein Sicherheitsproblem.
Nochmal ich würde niemanden empfehlen die Datei in dieser Form einzusetzen !
MfG
jubilee



Musicman75

Danke für den Hinweis Jubilee, werde die Datei sofort wieder entfernen.
Unaufgeforderte Support PMs & Emails werden ignoriert

Immer erst die Boardsuche verwenden und gegebenenfalls einen neuen Threat eröffnen, wenn das Problem noch nicht behandelt wurde!

Selkie

argh schade! zu spät!  ;D *kleiner Scherz*

lg aus Essen!