Sperrung der Ordnerstruktur

**Snaky** · 04.10.2011, 07:38

Hallo allerseits, ich weiß nicht genau unter welchem Stichpunkt ich so etwas finde, wenn es bereits irgendwo existiert tut es mit leid und verweist mich bitte aufs Topic:

Wenn man eine Datei herunterlädt und dann den letzten Teil der Adresse aus der Browserzeile entfernt, kann man munter in den ganzen Homepageordern herumspazieren, auch in solche, wo ich die Downloads in Contao erst nach Login freischalte. (Betreffender Link: TFF).

Hat da jemand einen heißen Tipp?

**µaTh** · 04.10.2011, 07:42

da fehlt wohl die .htaccess-Datei, denn normalerweise sind die Verzeichnisse gegen "herumspazieren" geschützt

**Snaky** · 04.10.2011, 07:56

Ist die nicht normalerweise von Haus aus schon dabei? Sehe grade, dass ich im Hauptverzeichnis nur die .htaccess.default habe

**planepix** · 04.10.2011, 08:28

Solange die Datei ".htaccess_default" ist sie quasi ohne Wirkung.
Diese entfaltet sie wenn du sie in ".htaccess" umbenennst.

Bei Nutzung der Funktion "URLS umschreiben" muss du ggf. noch den Pfad auf das Installationsverzeichnis "RewriteBase /" anpassen.

**NetMediaWork** · 04.10.2011, 09:27

Hallo,

das funktioniert auch nur, wenn auf dem Apache *Directory Listing* aktiviert ist.

**Snaky** · 04.10.2011, 11:34

Habe die htaccess im main-Verzeichnis umbenannt, das hat aber 0 Auswirkungen. Urls umschreiben ist nicht drin.

**planepix** · 04.10.2011, 11:51

Hallo Snaky,

was bedeutet "ist nicht drin"?

Nicht drin im Sinne von "das kann ich nicht machen, nicht gestattet" oder nicht drin im Sinne von "dort nicht einstellbar"?

Bei zweiterem: Backend -> Einstellungen -> Frontend-Einstellungen -> URLs umschreiben.

**Snaky** · 04.10.2011, 11:56

Im Sinne von: Hab ich nicht eingestellt

Sollte mich da schon klarer ausdrücken

Wenn ich den Haken bei Urls umschreiben jetzt setze, muss ich dann die Rewrite-Base aus den Comments aktivieren in der htaccess? (ich meine folgenden Code

Code:

  ##
  # Activate the module
  ##
  RewriteEngine On

  ##
  # Set the RewriteBase if your Contao installation is in a subdirectoy and
  # the rewrite rules are not working properly. Usage examples:
  #
  #   RewriteBase /contao-2.9.0
  #   RewriteBase /path/to/contao
  #
  # Uncomment the following line to set the RewriteBase.
  ##
  #RewriteBase /

**planepix** · 04.10.2011, 11:58

ok.

Ja in der ".htaccess" dann die Raute "Kommentarzeichen) vor RewriteBase entfernen:

Von "#RewriteBase /" in "RewriteBase /" ändern.

**Snaky** · 04.10.2011, 13:02

Hey, danke erstmal für die Hilfe.

Habe nun das Umschreiben aktiviert und die Raute entfernt. Leider werden mir nach klicken auf eine PDF immer noch die Pfadangaben angezeigt (http://tff-kassel.de/tl_files/Stelle...stoffkunde.pdf

Und gesperrt ist der Zugang zu den weiteren Verzeichnissen damit ja auch noch nicht (Beispiel: http://tff-kassel.de/tl_files/Stelle...ote/Technisch/)

**planepix** · 04.10.2011, 13:12

Dann würde ich einmal mit dem passenden Contao-Check die Installation überprüfen.

Zudem kannst du in der Dateiverwaltung für die Ordner auch durch Klick auf das Schloss diese schützen.

**Snaky** · 04.10.2011, 13:54

Habe ich gecheckt. Alles grün bis auf die "Register globals". Die wurden on gesetzt, obwohl off empfohlen wird. Wenn ich mit dem Schloss schütze, können die Dateien auch nicht über das FrontEnd genutzt werden.

***xchs*** · 04.10.2011, 13:58

Der Hinweis aus Beitrag #5 scheint wohl in der Diskussion hier untergegangen zu sein. Darum solltest Du Dich kümmern!

**Snaky** · 05.10.2011, 07:02

Zitat von xchs

Der Hinweis aus Beitrag #5 scheint wohl in der Diskussion hier untergegangen zu sein. Darum solltest Du Dich kümmern!

Auf die Frage, ob Directory Listing bei mir aktiviert sei bekam ich vom Provider die Antwort

der "mod_autoindex" für "Directory Listing" ist auf unseren Servern aktiviert.

***lucina*** · 05.10.2011, 08:07

http://www.htaccess-guide.com/disabl...tory-listings/

Carolina.

**Snaky** · 05.10.2011, 10:06

Jetzt will ich nur noch mal nachfragen:

Also ich schreibe den "IndexIgnore *.blabla"-Befehl in meine htaccess und die betroffenen Files werden dann nicht mehr gelistet? Also sind dann quasi einfach unsichtbar, wenn jemand bis in die Ordner vordringt? Aber Contao sieht sie dann? Könnte ich auch mit IndexIgnore ganze Ordner aussperren von der Sichtbarkeit?

***xchs*** · 05.10.2011, 13:03

Öffne die ".htaccess" im Contao-Hauptverzeichnis und füge am Anfang nach den Copyright-Kommentaren die folgende Direktive ein:

Code:

Options -Indexes

**Snaky** · 05.10.2011, 14:40

Aaaahhh okay. Danke! Jetzt haut er die Permission-Meldung raus, wenn man versucht sich per Hand durchzugraben. Aber zum Verständnis um mich weiterzubilden: Mit dem IndexIgnore lassen sich dann die einzelnen Dateitypen sperren?