Geschützte Inhalte wirklich schützen

**supahr** · 04.01.2016, 00:19

Hallo,

ich habe eine Seite deren Inhalt erst nach Frontend Login angezeigt werden soll.
Das ist auch alles so weit eingerichtet und funktioniert.
Nun ist das Problem, dass zwar die Seiten ohne Login versteckt sind, allerdings Direkt Links zu Bildern auch ohne Login funktionieren.

Kann man das irgendwie unterbinden?
Also das man Bilder über http://example.de/files/bilder/example1.jpg ohne Login nicht aufrufen kann?

MfG
Supahr

**Spooky** · 04.01.2016, 09:48

Du müsstest das entsprechende Verzeichnis über die Dateiverwaltung schützen lassen und die Dateien dann über das Download Inhaltselement bereitstellen.

**supahr** · 04.01.2016, 11:14

und wenn die Bilder Teil von normalem Content sind?
Beispielsweise werden sie in Galerien angezeigt.

Es geht nicht um nutzlose sperren für rechtsklick, Bilder download oder ähnlich sondern aus Datenschutz gründen darum das sie nicht ohne Login anschaubar sein dürfen.
Bei Facebook funktioniert das ja auch, von daher muss es ja technisch möglich sein?
Die Frage ist nur wo setzt man da an?
Wenn ich die Bilder über die Dateiverwaltung so sperre, werden sie ja gar nicht mehr angezeigt.

Mfg
Supahr

**Spooky** · 04.01.2016, 11:16

So wie du dir das vorstellst unterstützt das Contao leider nicht von Haus aus.

**tab** · 04.01.2016, 11:22

Es gab da mal Ansätze einer Erweiterung, die ist aber meines Wissens nicht mehr aktuell. Die Diskussion bzw das Problem an sich sind schon uralt.

**Sascha.Brandhoff** · 04.01.2016, 11:23

Also ich wüßte jetzt nicht das ich bei Facebook irgendwas nicht anzeigen / downloaden lassen kann wenn ich die konkrete Url habe.

**Spooky** · 04.01.2016, 11:38

Zitat von Sascha.Brandhoff

Also ich wüßte jetzt nicht das ich bei Facebook irgendwas nicht anzeigen / downloaden lassen kann wenn ich die konkrete Url habe.

Nein, so einfach ist das nicht. Bspw. kannst du auf dieses Bild nicht einfach so zugreifen: https://fbcdn-sphotos-a-a.akamaihd.n...95724964_n.jpg
Wenn aber für diese Resource gültige Session Parameter existieren (oh, oe, __gda__), kann dieses Bild von überall aus aufgerufen werden: https://fbcdn-sphotos-a-a.akamaihd.n...4efa4aaac811d3 - aber nur für eine bestimmte Zeit.

**supahr** · 04.01.2016, 13:21

Also wäre ein Ansatz von der Theorie her Bilder generell zu sperren, und Contao dann irgendwie beizubringen Bilder nur per get Parameter darzustellen, welcher irgendwie die Session ID überliefert und mit der Datenbank abgleicht.
Wo müsste man da konkret eingreifen?
Und wäre das Performance mäßig überhaupt praktikabel, bei jedem einzelnen Bildabruf solch ein Skript laufen zu lassen?

**Spooky** · 04.01.2016, 13:47

Die Sache mit dem GET Parameter brauchst du nicht unbedingt. Man könnte es in Contao bspw. folgendermaßen lösen:

Du schreibst dir eine Rewrite Rule, die alle Requests auf assets/images/… und files/… umleitet zu einem Script und den Pfad zur Datei als Parameter dranhängt.
In diesem Script evaluierst du dann, ob der Client auf diese Datei zugreifen darf oder nicht.
Wenn ja, streamst du den Inhalt zum Client. Wenn nicht, gibst du einen 403 Status Code zurück (oder lässt die 403 Seite von Contao generieren).

Problematisch sind jedoch die automatisch generierten Bilder unter assets/images/…. Hier kann man potentiell nicht eindeutig feststellen, ob der Client auf die Datei Zugriff haben soll oder nicht. Da müsste man im executeResize und/oder getImage Hook nochmal zusätzliche Arbeit leisten.

**folkfreund** · 04.01.2016, 14:31

Danke Spooky für den Dankanstoß!

Da ja normalerweise nicht alle Grafiken einer Seite geschützt sein müsse, sollte es doch vielleicht ausreichen, die Bilder unter /files oder vielleicht sogar nur in definierten Unterordnern auf diese Weise zu schützen. Das ließe sich dann ja über die Rewrite Rule steuern.

Wie sieht das dann aber mit automatisch skalierten Bildern im Cache aus? Muss man dafür noch irgendwas bedenken?

**Spooky** · 04.01.2016, 14:38

Zitat von folkfreund

Wie sieht das dann aber mit automatisch skalierten Bildern im Cache aus? Muss man dafür noch irgendwas bedenken?

Das habe ich hiermit gemeint

»

Zitat von Spooky

Du schreibst dir eine Rewrite Rule, die alle Requests auf assets/images/… und files/… umleitet zu einem Script und den Pfad zur Datei als Parameter dranhängt.
…

Problematisch sind jedoch die automatisch generierten Bilder unter assets/images/…. Hier kann man potentiell nicht eindeutig feststellen, ob der Client auf die Datei Zugriff haben soll oder nicht.

Die von Contao generierten Bilder befinden sich unter assets/images/….

Zwar befindet sich noch der Original Dateiname im Dateiname des veränderten Bildes und man könnte dadurch zurück schließen, in welchem Ordner sich die Datei befindet - theoretisch könnte sich aber eine Datei mit dem gleichen Namen auch in einem Ordner befinden, der öffentlich zugänglich ist. Man müsste hier evt. im executeResize und/oder getImage Hook veranlassen, dass auch zusätzlich der Hash der Datei angewhängt wird, oder so etwas in der Art.