Suche

[splitterman]

Pragma ist einfach wunderbar, nur einen Nachteil hat es leider immer noch wie alle anderen Nuke-Systeme ... die Downloads könenn verlinkt werden und auch Google ist da eifrig am indezieren ...
daher die einfache anfrage, ob es irgendwie möglich ist, die downloads offen zu halten, aber trotzdem zumindest den Besuch auf der Seite zu erzwingen?

Bisher helfen wir uns immer damit den Download neu in die Datenbank einzutragen und auf der alten Datenbankposition eine Linksteal-Datei einzublenden, aber irgendwie kann das doch nicht die Lösung sein?

Ich weiß zwar nicht wie es bei anderen ist, aber bei unserem Einsatz von Pragma (www.sunshine-sounds.net) kann dieses teilweise sehr hinderlich sein

[jubilee]

Hallo !

die Downloads könenn verlinkt werden und auch Google ist da eifrig am indezieren ...

Die Datei robots.txt editieren und das indizieren von Suchrobotern für die Downloads verbieten

Es gibt da eine Möglichkeit.
Das CAPTCHA (Completely Automated Public Turing to tell Computers from Humans Apart). D.H. Es muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.

Eine andere Möglichkeit (theoretisch) wäre den HTTP_REFERER auszuwerten. Der müsste dann in jedem Fall von der lokalen Maschine kommen um den Download freizugeben.

MfG
jubilee

[splitterman]

Die Datei robots.txt editieren und das indizieren von Suchrobotern für die Downloads verbieten

Sicher eine Möglichkeit, aber für die deeplinks doch eher nicht die lösung ... weil wenn schon, dann wäre eine Kombilösung nicht schlecht

Es gibt da eine Möglichkeit.
Das CAPTCHA (Completely Automated Public Turing to tell Computers from Humans Apart). D.H. Es muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.

auch nicht so der bringer (zumindest bei uns - einfachheit und schnelligkeit ist oberstes Gebot)

Eine andere Möglichkeit (theoretisch) wäre den HTTP_REFERER auszuwerten. Der müsste dann in jedem Fall von der lokalen Maschine kommen um den Download freizugeben.

hm ... das wäre eine Möglichkeit, aber wie bekomme ich das hin? ... und vor allem ... wie schaffe ich es dann dem "Besucher" des Steals eine Hinwiesseite zu präsentieren?

Bei der Auswertung scheitern meine eigenen PHP-Kenntnisse leider

[jubilee]

Hallo !

hm ... das wäre eine Möglichkeit, aber wie bekomme ich das hin? ... und vor allem ... wie schaffe ich es dann dem "Besucher" des Steals eine Hinwiesseite zu präsentieren?

Naja, das muss ich selbst erstmal ausprobieren.
Problem bei dem HTTP_REFERER könnte sein, das evt nicht alle Clienten diesen im Request mitsenden
(bzw. eine Clients auch die Möglichkeit bieten diesen zu deaktivieren).
Was dann dazu führen würde das diese Requests dann abgewiesen würden.


Muss ich mal etwas damit experimentieren.
MfG
jubilee

[splitterman]

Naja, das muss ich selbst erstmal ausprobieren.
Problem bei dem HTTP_REFERER könnte sein, das evt nicht alle Clienten diesen im Request mitsenden
(bzw. eine Clients auch die Möglichkeit bieten diesen zu deaktivieren).
Was dann dazu führen würde das diese Requests dann abgewiesen würden.

wäre alternativ nicht irgendwie eine Möglichkeit über Java denkbar?

[Musicman75]

oder über ne htaccess, dass über php ne authentifizierung erfolgt.

[jubilee]

wäre alternativ nicht irgendwie eine Möglichkeit über Java denkbar?

Die Frage ist ja nicht "wie prüfen" sondern eher "auf was prüfen".
Was unterscheidet einen Request der von einem user ausgeführt wird, der sich auf der lokalen Seite befindet
von dem Request eines Users, der diesen von einer anderen Seite aus absendet ?
Eigentlich ist da nur der Referer.
Man kann natürlich auuch Konstrukte erstellen die bestimmte Werte setzten so das diese nur present
sind wenn der User auch auf der Seite verweilt.
Einiges in dieser Art verwenden wir auch für unsere Sicherheitsfunktionen.
Evt. ist da auch der richtige Ansatz
...

[splitterman]

Man kann natürlich auuch Konstrukte erstellen die bestimmte Werte setzten so das diese nur present
sind wenn der User auch auf der Seite verweilt.
Einiges in dieser Art verwenden wir auch für unsere Sicherheitsfunktionen.
Evt. ist da auch der richtige Ansatz
...

Oder man erstellt irgendwie eine Funktion die dann durch das anklicken des bisherigen Downloadlinks den download mehr oder weniger freigibt ... ohne dass der Nukelink (für Insider) weiterhin funktionieren würde ... ao als Vorschlag von mir noch in die Runde ... also Ersetzen des Nukelinks (der einfach für diese Art finde ich zu anfällig ist, da man hier mittels skripten auch schnell alle Downloads, ohne die Seite besuchen zu müssen abgrasen kann ... und mit schnellen Anbindungen kann man hier auch schnell eine Seite mit größerem Downloadbereich ... nicht nur lahmlegen, sondern auch Trafficmäßig enorm belasten)

[Andi]

Moin

Es muss vor dem Download eine zufällig erstellte Ziffernkombination in ein Formularfeld eingetragen werden bevor der Download freigegeben wird.

in dem Download-Modul, welches mit mX 2.2 kommt ist das eingebaut.

Ansonsten will ich (oder du Jubilee ?) hier mal im SMF Board nachsehen, wie das da mit den Anhängen gelöst ist. Scheint mir sehr brauchbar zu sein.

[jogi24]

hi

oder schaut mal auf nuke-theme.de, da rennt der fetch-mod in der 2.1a 

[Andi]

Hmmm, stimmt Jogi, du hattest das schonmal reingebastelt.
Kannst das nicht vorab als Download anbieten?
Das Modul von 2.2 läuft i.M. noch nicht im 2.1 und wird noch dauern.....

[Biker]

n dem Download-Modul, welches mit mX 2.2 kommt ist das eingebaut.

Geile Sache! Find ich sehr gut! 

[jogi24]

hi

@Tora

hast mich wie immer überredet.

die geänderten dateien liegen auf meiner seite im download !!!

Fetch-mod und die versteckte Download-URL sind eingebaut

[Musicman75]

Hallo jogi,

kannst Die datei noch hier an deinen beitrag anfügen?

Danke

[jubilee]

Hallo !
Wenn das Verstecken der Download-URL noch immer auf dem von mir mal geposteten
Code (wird auch im Downloadmodul hier auf der Hauptseite verwendet) aufbaut, muss der evt. nochmal angepasst werden. Ich habe kürzlich noch eine kleine Fehlerquelle gefunden die dafür sorgt, das auch nichtvorhandene Dateien korrekt als download angeboten werden. Nur ist die Datei bzw. das Archibv anschließend halt leer.
Ich schau mir das mal an und poste evt. eine Berichtigung falls noch der alte code verwendet wird.
MfG
jubilee

[Musicman75]

Hallo,

ich habe das ganze mal installiert. Nach Eingabe des Codes wird das hier angezeigt:

Warning: Failed opening 'mainfile.php' for inclusion (include_path='.:/usr/share/php') in /home/www/web1/html/main/includes/fetch.php on line 3

Fatal error: Call to undefined function: sql_query() in /home/www/web1/html/main/includes/fetch.php on line 13

? ? ? ?

[adonis]

Hallo,

kopier die fetch.php ins root. Gehe nach modules/Download. Editiere die index.php ca. Zeile 1220 oder suche nach fetch.php und mach das includes/ vor weg. Fertisch.

Gruss, Peter

wow, hört sich an wie gehe nich über Los ziehe nicht....

[jubilee]

Hallo !
Oder editiere die fetch.php zeile 13
--> include("../../mainfile.php");
BTW:
Die fetch.php kann DIREKT aufgerufen werden, ohne das das Portal geladen sein muss.
Es sind reichlich frei zugänliche Variablen drinne , die nicht initial gesetzt werden.
Das ist das beste Script um jemanden zum XSS-Hacken bzw. auch zum SQL-Inject Hacken einzuladen.
Das MUSS unbedingt überarbeitet werden sonst habt Ihr ein Sicherheitsproblem.
Nochmal ich würde niemanden empfehlen die Datei in dieser Form einzusetzen !
MfG
jubilee

[Musicman75]

Danke für den Hinweis Jubilee, werde die Datei sofort wieder entfernen.

[Selkie]

argh schade! zu spät!  *kleiner Scherz*

lg aus Essen!