Geschützter Ordner: Anzeige von Bild im Backend nicht möglich

**okapi** · 12.11.2012, 20:28

Bilder in einem geschützten Ordner (.htaccess - Schlosssymbol in der Dateiverwaltung aktiviert) lassen sich im Backend nicht in der Mediabox in Großansicht betrachten, wiewohl sie sich aber herunterladen lassen. Die Mediabox öffnet sich zwar in der benötigten Höhe und Breite, das Bild wird aber nicht geladen. (Contao 2.11.6)

Kann das jemand nachvollziehen?

Gruß
Michael

**fiedsch** · 13.11.2012, 06:51

In der Mediabox steht im erzeugten HTML höchstwahrscheinlich ein Link zum Bild. Das kann dann nicht angezeigt werden und ist auch OK -- sonst würde der Apache ja Deine .htaccess (Schlosssymbol) ignorieren.

Der Download wird wohl über ein PHP Skript von Contao gehen und da sind evtl. vorhandene .htaccess unerheblich. Hier kommt es nur darauf an, ob das Skript selbst die Datei lesen darf (Dateirechte des Betriebssystems) und ob seine Logik es erlaubt, sie an den angemeldeten User auszuliefern (Contaos "Zugriffsrechte-Verwaltung").

**okapi** · 13.11.2012, 10:36

Vielen Dank für deine Antwort!

Dennoch verstehe ich nicht, warum das Backend von Contao diese Datei zwar nicht öffnen, aber downloaden darf - da greift doch in beiden Fällen Contao auf die Datei zu und niemand anderer?
Außerdem, denke ich, müsste ich doch als Admin auf jeden Fall Zugriff auf Dateien haben.

Ein Bild zwar downloaden, aber innerhalb des Backends von Contao nicht öffnen zu dürfen - für mich ist das ein Bug. Der Ordnerschutz soll doch nur den direkten Zugriff von außen verhindern. Völlig unlogisch ist es für mich, wenn das Bild eines geschützten Ordner zwar im Frontend in der Mediabox angezeigt wird (=werden darf), aber nicht im Backend!

Gruß
Michael

**fiedsch** · 13.11.2012, 20:56

Dennoch verstehe ich nicht, warum das Backend von Contao diese Datei zwar nicht öffnen, aber downloaden darf - da greift doch in beiden Fällen Contao auf die Datei zu und niemand anderer?

Aus Sicht des Webservers greifst *Du* (und nicht Contao) auf das Bild zu, wenn es in einer URL z.B. in einem img-Tag verlinkt ist. Der Server weiß in nichts von Contaos Benutzerverwaltung (egal, ob Frontend oder Backend). Wenn der Webserver die Datei also ausliefern darf -- weil sie oder das Verzeichnis in der sie liegt nicht per .htaccess "oder Servkonfiguration verboten" ist -- dann wird sie ausgeliefert und Contao ist dabei nicht im Spiel, kann also auch nichts regeln.

Wenn Du eine Datei mit Contaos Zugriffsschutz versehen behandeln willst, besteht der Link auf die Datei aus einerm Link auf die imdex.php von Contao. Aus den Parametern der URL weiß Contao dann, welche Datei es als ergebnis der Ausführung der index.php ausliefern soll. Bevor es das tut, kann es seine eigene Rechteverwaltung befragen und entscheiden, ob die Datei ausgeliefert werden. darf. Eine .htaccess interessiert Contao dabei nicht, sie bleibt also hier also wirkungslos.

Schau Dir am besten mal die HTML-Quelltexte der Seiten. an, die sich Deiner Meinung nach "falsch" verhalten.

**okapi** · 16.11.2012, 11:06

Danke für diese Erklärung, die mich auf meinen grundsätzlichen Gedankenfehler aufmerksam gemacht hat. Bilddateien, die auf diese Weise geschützt werden, werden ja auch im Frontend nicht angezeigt, der Verzeichnisschutz macht also nur bei Dateien Sinn, die zum Download angeboten werden, da nur diese Contao selbst ausliefert und dabei die Berechtigungen verwaltet.

Ich wollte ursprünglich den direkten Zugriff auf Bilder in Verzeichnissen verhindern, die nur angemeldete Frontend-User sehen dürfen. Ich denke, diesen Schutz kann ich nur mittels Verzeichnisnamens und/oder Verzeichnisstruktur herstellen.

Gruß
Michael