Lightbox funktioniert nicht bei Verzeichnisschutz

[andre.5tz]

Hallo zusammen,

ich habe heute ein Verzeichnis in der Dateiverwaltung geschütz (Schloßsymbol) und wollte dann Bilder über Lightbox anzeigen.
Im Ergebnis werden die Bilder im Frontend zwar angezeigt, allerdings funktioniert Lightbox nun für diese Bilder nicht mehr.

Die Suche hat mich zu zwei Forenbeiträgen geführt.

Dateiverwaltung Verzeichnis schützen im alten Forum - leider ohne TL-Lösung.

restrict access to images to members only im englischen Forum, mit einer Lösung(?), die ich nicht weiter verfolgt habe.

Gibt es eine einfache Lösung, Bilder über den Verzeichnisschutz von TL zu schützen UND die Lightbox weiterhin nutzen zu können?

Das Problem habe ich bei der laufenden 2.7.6 wie auch bei einer Testinstallation der 2.8.

FF lädt einfach ohne zu meckern, IE bringt die Fehlermeldung Forbidden
You don't have permission to access /....jpg on this server.

Würde mich freuen, wenn es hier eine einfache Lösung gibt, vielleicht habe ich ja auch etwas übersehen?

Viele Grüße
André

[Sebastian]

HI

es ist logisch, dass es nicht funktioniert. Der Schutz ist so angelegt, dass die Dateien nicht direkt aufgerufen werden können. In der Lightbox werden sie das aber. Wenn es für dich extrem wichtig ist, müsste man eben etwas neues programmieren, aber du kannst auch einfach den Schutz aus dem Ordner entfernen. Ich schütze immer nur Ordner mit Dateien, die über das Download-Inhaltselement eingebunden werden, sonst nichts. Wasrum brauchst du denn den Bilderschutz?

Sebastian

[andre.5tz]

Hi Sebastian,

danke für Deine Rückmeldung.
Ich wollte einfach ein paar private Bilder in einem internen Bereich einstellen.
Extrem wichtig ist es natürlich nicht, aber es ist schon schade, dass die Lightbox nicht generell so eingestellt werden kann, dass sie auch bei einem geschützten Verzeichnis funktioniert. Zumal der Verzeichnisschutz ja ohne Hinweis erfolgt und das große Erwachen erst beim ersten Klick auf ein Bild kommt

VG
André

[ways2web]

Gibt es hierfür mitlerweile eine Lösung, workaround oder ähnliches?

Ich hab in meinem Onlineprofil ein paar bilder, die ich gern schützen würde vor unberechtigten zugriff (Zeugnisse usw), aber für eingeloggte Mitglieder sollen diese dennoch per lightbox sichtbar sein.

Gruss
ways

[do_while]

Wenn das Verzeichnis einen Zugriffsschutz per .htaccess gesetzt hat, kann der Browser das Bild nicht laden. Da die Mitglieder auf PHP-Ebene und nicht auf Apache-Ebene eingeloggt sind, kann die .htaccess Mitglieder nicht von Gästen unterscheiden.

[ways2web]

Wenn das Verzeichnis einen Zugriffsschutz per .htaccess gesetzt hat, kann der Browser das Bild nicht laden. Da die Mitglieder auf PHP-Ebene und nicht auf Apache-Ebene eingeloggt sind, kann die .htaccess Mitglieder nicht von Gästen unterscheiden.

ja, stimmt.. wenn man (ich) sich mal an die grundlagen erinnern würde, wäre mir das klar gewesen...

manno... das ist blöd.. ich will Mitglidern bildern anbieten, die für den rest aber nicht erreichbar sind...

danke do_while !

[andre.5tz]

Schade, dachte erst, hier wird jetzt eine Lösung präsentiert

Wenn ich das richtig verstanden habe, liegt es auch daran, wie die Bilder aufgerufen werden, denn für die CE Downloads kannst Du einen funktionierenden Verzeichnisschutz einstellen.

Dazu kommt, das die Thumbs für die Bilder im öffentlichen temporären Verzeichnis /html liegen und "lediglich" über die angehängte Nummer geschützt werden. Bei meinen Zeugnissen wäre mir das zu wenig Schutz

[ways2web]

Schade, dachte erst, hier wird jetzt eine Lösung präsentiert

Wenn ich das richtig verstanden habe, liegt es auch daran, wie die Bilder aufgerufen werden, denn für die CE Downloads kannst Du einen funktionierenden Verzeichnisschutz einstellen.

Dazu kommt, das die Thumbs für die Bilder im öffentlichen temporären Verzeichnis /html liegen und "lediglich" über die angehängte Nummer geschützt werden. Bei meinen Zeugnissen wäre mir das zu wenig Schutz

es gibt ja das hier, aber ist noch ne alpha...

das müßte wirklich mal weiterverfolgt werden, aber leider fehlt mir dazu noch das knowHow, würde aber endlich eine lücke schließen.

gruss
ways

[andre.5tz]

Hi,

ich habe mir jetzt tl_fileProtect mal angeschaut, find ich schon mal klasse.

Bei der Beschreibung wurde meiner Ansicht nach Benutzergruppe mit Mitgliedergruppe verwechselt, die Einrichtung ist aber wirklich recht einfach.

Unter "Bitte Beachten" wurden noch zwei Knackkpunkte aufgeführt:

1. Ist ein Backend User angemeldet, so wird der Zugriff ebenfalls gewährt!
2. Bilder, welche aufgrund eines Resize in das system/html-Verzeichnis kopiert wurden, werden nicht geschützt.

Nr. 1 finde ich nicht sehr glücklich.
Als Backenduser angemeldet kann ich mit Direktlink das Bild ansehen. Gilt das nur für meinen Browser, wäre das zu verschmerzen.

Nr. 2 ist vermutlich nicht ganz so tragisch, da die Thumbs mit einer zusätzlichen Ziffernfolge "verschlüsselt" werden.

Fazit: Wenn der Schutz auch dann greift, wenn ein Backenduser angemeldet ist, würde ich sagen Ziel erfüllt
Muss ich in Ruhe nochmal austesten.

LG
André

[weke]

Hi André,

Ja, die Beschreibung muss ich mal ändern. Es muss wirklich Mitgliedergruppe lauten.

Nr. 1 finde ich nicht sehr glücklich.
Als Backenduser angemeldet kann ich mit Direktlink das Bild ansehen. Gilt das nur für meinen Browser, wäre das zu verschmerzen.

Nr. 2 ist vermutlich nicht ganz so tragisch, da die Thumbs mit einer zusätzlichen Ziffernfolge "verschlüsselt" werden.

Auch hierzu muss ich die Beschreibung wohl noch besser machen.
Zu Nr. 1: Hier gilt wenn ein Backendbenutzer angemeldet ist, dann können innerhalb dieser Session, also sein Browser, alle Links angesehen werden. Es sollte nicht bedeuten, dass dann die direkten Links für "Rest of World" verfügbar sind. Daher Entwarnung!
Leider ist dann auch die Vorschau immer möglich. Da fehlt mir aber noch die passende Idee.

Zu Nr. 2: Das habe ich jetzt auch noch hinzugefügt. Geschützte Ordner werden in einem separaten Verzeichnis gecached, dass selbst wiederum geschützt ist.

Aber ich bastle noch im Alpha Stadium. Daher können hier noch größere Fehler drin sein, müssen aber nicht. Ich Arbeite aber daran.

[andre.5tz]

Hi weke,

danke für Deine Antwort und danke für tl_fileprotect

Die neue Version habe ich jetzt mal installiert und auf die Schnelle keine Probleme feststellen können. Funktioniert sehr gut!

Zwei Dinge sind mir noch aufgefallen.

Unter Mitgliedergruppen bearbeiten erscheint "filemounts_legend" als Überschrift.
In den Sprachdateien unter legends muss "tl_member_group" anstatt "tl_user_group" eingetragen werden, dann wird die Überschrift angezeigt.

Bei der Beschreibung unter
"Wie funktioniert diese Erweiterung?
Die Benutzergruppe erhält zusätzlich die Konfigurationsmöglichkeit des freigegebenen Filemounts." müsste es doch eigentlich auch Mitgliedergruppen heißen?

VG
André

[weke]

Hallo André,

Zwei Dinge sind mir noch aufgefallen.

Danke für den Hinweis, hab jetzt beides korrigiert!
Dabei habe ich auch noch die Lables umbenannt, damit die Funktion hinter der Auswahl vielleicht verständlicher wird.

[ways2web]

hat denn schon jemand getestet, ob ich so auch Bilder wirklich schützen kann, die ich z.B per lightbox4ward aufrufe?

gruss Olli

PS: die erweiterung geht echt in eine gute Richtung!

[do_while]

Dann schau mal in den Browsercache, dort findest Du das Bild sicherlich.

[andre.5tz]

@do_while
Solange meine geschützten Bilder nicht bei Dir im Browsercache liegen ist es doch OK

@ways2web

hat denn schon jemand getestet, ob ich so auch Bilder wirklich schützen kann, die ich z.B per lightbox4ward aufrufe?

Probiere es doch enfach mal selbst, bei mir wurde bei einem kurzen Test auch ein per lightbox4ward eingefügtes Bild geschützt.

@weke
Mir ist noch nicht ganz klar, was mit den gecachten Bildern passiert.

• Werden die gecachten Bilder nach einer bestimmten Zeit wieder gelöscht?
• Wird ein Bild aus dem Cache genommen, wenn das Original gelöscht wird?
• Gibt es eine Möglichkeit, das Verzeichnis zu bereinigen - siehe Systemwartung?
• Gibt es einen Grund, warum die Dateinamen vollständig kryptisch sind?

Ich hoffe, es sind nicht zu viele Fagen

[weke]

Hi André,

Mir ist noch nicht ganz klar, was mit den gecachten Bildern passiert.

• Werden die gecachten Bilder nach einer bestimmten Zeit wieder gelöscht?
• Wird ein Bild aus dem Cache genommen, wenn das Original gelöscht wird?
• Gibt es eine Möglichkeit, das Verzeichnis zu bereinigen - siehe Systemwartung?
• Gibt es einen Grund, warum die Dateinamen vollständig kryptisch sind?

Ich hoffe, es sind nicht zu viele Fragen

Nein, dass sind nicht zu viele Fragen, ich habe höchstens zu wenig Zeit!
Die ersten drei Fragen kann ich kurz mit Nein beantworten. Das ist das Problem mit einer beta Version. Diese Teile fehlen noch, stehen aber auf meine ToDo-Liste. Noch bin ich mir über einen konkreten Automatismus uneins, aber ein manuelles Löschen soll auf jeden Fall auch noch kommen. Mir fehlt aber aktuell mal wieder etwas Freizeit.

Die vierte Frage ist auch einfach: Ja, einen Grund gibt es.
Einen sprechenden Namen brauche ich nicht. Dafür benötige aber ich eine Referenz auf das Quellverzeichnis. Dieses ist der erste Teil des Dateinamens (bis zum ersten Punkt), es ist der Hash-Wert des Quellverzeichnisses. Diesen Nutze ich dann um zu ermitteln, ob das Mitglied in diesem Ordner Zugriffsrechte hat oder nicht. Der zweite Teil ist dann der Hash-Wert von Dateiname, neue Bildgröße, Modus und Zeitstempel der Quelldatei. Dieser Teil entspricht in etwa dem original Anhängsel der Dateien in Cache von Contao. Ich kürze den halt nicht, um keine Redundanzen zu erzeugen. Der dritte Teil ist dann die Dateiendung, die zur Ermittlung des Mime-Typs verwendet wird.

Ich dachte mir, das damit der Dateiname lang genug ist und da ich eh kein deep-Link wünsche, brauche ich auch den original Dateinamen nicht mehr übernehmen. Wenn es aber einen sinnvollen Grund gibt, den original Dateinamen mit aufzunehmen, kann ich das auch noch einbauen. Aber bedenke, der Cache-Dateiname wird dadurch nur noch länger und irgendwo gab es doch auch bei einer URL eine Längenbegrenzung. Wie war die doch gleich?

[andre.5tz]

Hi weke,

danke für die ausführliche Antwort.
Es freut mich, wenn Du die ersten drei Punkte schon auf Deiner ToDo-Liste hast.
Da mir nach Deiner Erklärung zu den Dateinamen kein sinnvoller Grund einfällt, Dir zu wiedersprechen und den originalen Dateinamen zu verwenden, ist das so OK.

Freizeit und Beta ist schon klar (it's done when it's done!)

[weke]

Hi André,

habe zwei deiner Fragen schon mal umgesetzt:

• Werden die gecachten Bilder nach einer bestimmten Zeit wieder gelöscht?

Es ist jetzt ein Cron Job integriert, der alle gecachten Bilder, die älter sind als 7 Tage löscht. Dieser Cron Job wird allerdings nur einmal die Woche aufgerufen. Das maximale Alter der gecachten Bilder lässt sich dabei auch noch einstellen, derzeit allerdings nur durch manuelles hinzufügen in der localconfig.php.
Der Wert x in

$GLOBALS['TL_CONFIG']['tl_fileProtectCron'] = x;

gibt dabei das maximale alter in Tagen an. Ist x < 7 wird der Cron Job auch täglich ausgeführt.
Erlaubt sind Werte von 0 - 365, wobei 0 so viel wie unendlich bedeutet.

• Gibt es eine Möglichkeit, das Verzeichnis zu bereinigen - siehe Systemwartung?

Jetzt ja: Beim löschen des Bildercache in den persönlichen Daten wird der geschützte Cache mit gelöscht. In die Systemwartung habe ich das nicht integriert.

Wenn es Probleme gibt, bitte Melden!

[Psi]

Ohne diesen Thread wirklich gelesen zu haben hier eine Antwort:

Ich würde eine getProtectedImage.php schreiben, welche die Datei per PHP aus dem geschützten Ordner zurück gibt:

PHP-Code:

<?php
define('TL_MODE', 'FE');
require('system/initialize.php');

// Auth
$user = FrontendUser::getInstance();
$user->authenticate();

// Hier noch Logik einbauen ob das Bild geladen werden darf

// Das Bild ausgeben
$input = Input::getInstance();

$bild = $input->get('bild');
// Wichtig! Check einbauen ob es wirklich ein Bild aus tl_files ist!
if .... {


header('Content-Type: image/jpeg');
readfile($bild);
?>

[weke]

Ohne diesen Thread wirklich gelesen zu haben hier eine Antwort:

Ich würde eine getProtectedImage.php schreiben, welche die Datei per PHP aus dem geschützten Ordner zurück gibt:

Ja, genau das ist das Prinzip hinter der Erweiterung tl_fileProtect.
Allerdings sind dort schon die Logik integriert

[andre.5tz]

Ich habe jetzt bei einem anderen Webhosting-Server das Problem, das die Bilder nicht mehr angezeigt werden, sobald ich tl_fileProtect installiere und ein Verzeichnis schütze.
Ohne tl_fileProtect werden die Thumbs im Backend angezeigt, mit tl_fileProtect sehe ich weder im Backend noch im Frontend die Bilder.

Ansonsten scheint alles zu funktionieren, die Dateien werden im Verzeichnis tl_fileProtect/html/ angelegt und wenn ich da die .htaccess umbenenne werden die Bilder auch angezeigt. Irgend wie sperrt die .htaccess den direkten Zugriff über tl_fileProtect.

Frage:
Muss bei einem Server eine bestimmte Einstellung vorhanden sein?
Könnte es sein, dass es hier mit fastCGI probleme gibt?

[weke]

Hallo Andre,

für den Schutz der Dateien wird eine .htaccess-Datei in den zu schützenden Ordner angelegt, die mittels einer RewriteRule den Aufruf der Datei auf die protect.php im Contao Basisordner umleitet.
Ergo muss natürlich mod_rewrite auf dem Server funktionieren.
Ist das bei deinem Server der Fall?

Was wird eigentlich angezeigt, wenn du das Bild direkt im Browser aufrufen möchtest?
Beispiel: Server ist localhost, Contao ist im Unterverzeichnis contao installiert, ein Bild liegt im geschützten Ordner unter tl_files/MemdersOnly/Bild.png.
Was liefert dann der Aufruf von http://localhost/contao/tl_files/MemdersOnly/Bild.png ?
Falls ein "File not found" erscheint, welche Nummer wird nach diesen Worten angezeigt?

[andre.5tz]

Hallo weke,

mod_rewrite läuft auf dem Server und wird auch eingesetzt.

Die Fehlermeldung lautet: File not found1

Vielen Dank schon mal für die Rückmeldung

[weke]

Hi Andre,

die Fehlernummer grenzt das Problem schon weiter ein.
Entweder wird die Erkennung des Dateinamens anhand des Parameters $_SERVER['REDIRECT_URL'] nicht vom Server unterstützt oder in der Config steht ein anderes File-Verzeichnis.
Du könntes das herausfinden, wenn du in der protect.php zwischen der Zeile 97 und 98 folgendes Einfügts (die beiden Zeilen sind nachfolgend mit aufgeführt)

PHP-Code:

  {                                               // Zeile 97
    echo $_SERVER['REDIRECT_URL']."<br>";
    die($GLOBALS['TL_CONFIG']['uploadPath']);
    $Die |= 1;                                    // Zeile 98 


Wird dann in der ersten Zeile im Browser beim direkten Aufrufen des Bildes die Datei mit Pfad angezeigt?
Stimmt in der zweiten Zeile der Pfad mit deinem tl_files Ordner überein?

Anschließend beide wieder löschen

[andre.5tz]

Hi,

ich habe jetzt die tl_fileProtect.php entsprechend geändert.

Im Backend sehe ich keine Veränderung.
Im Frontend erscheint die Meldung

/meinPfad/index.php
tl_files

Bei Direktaufruf der Datei erscheint immer noch "File not Found1". Mehr sehe ich nicht.

Entweder wird die Erkennung des Dateinamens anhand des Parameters $_SERVER['REDIRECT_URL'] nicht vom Server unterstützt oder in der Config steht ein anderes File-Verzeichnis.

In der info.php gibt es eine Zeile _SERVER["REDIRECT_URL"] mit dem Wert /infophp/info.php5, der für die Datei auch so stimmt.(?)

Von welcher config ist hier die rede, komme da immer ganz durcheinander

[weke]

ich habe jetzt die tl_fileProtect.php entsprechend geändert.

Ups. nicht die tl_fileProtect.php ändern! Ich meinte die protect.php im Contao Root Verzeichnis!
Dann das Bild wieder direkt aufrufen. Durch die Änderung der protect.php darf dann die Fehlermeldung "File not Found1" gar nicht mehr erscheinen, da vorher abgebrochen wird.

Mit der Config meinte ich natürlich die localconfig.php im system/config Verzeichnis. Die Einstellung findet sich auch im Backend unter Einstellungen. Sorry, war von mir schlecht beschrieben...

[andre.5tz]

Hi weke,

Sorry, war von mir schlecht beschrieben...

Kein Problem, die protect.php hatte ich nicht gefunden und da der Eintrag auch bei der tl_fileProtect "passte", hab ich die eben genommen

Eine Lösung habe ich eben herausgefunden. Die $_SERVER['REDIRECT_URL'] habe ich nach langem Suchen und Testen durch $_SERVER['REQUEST_URI'] geändert. Das klappt jetzt für den Webserver und ich kann auch hier tl_fileProtect nutzen.

Für diejenigen, die es evtl. brauchen:
In der Datei im Root /protect.php in Zeile 88 und 92 die Werte $_SERVER['REDIRECT_URL'] durch $_SERVER['REQUEST_URI'] ersetzen.

Ob das iregendwelche Auswirkungen an anderer Stelle hat, kann ich allerdings nicht beurteilen.

LG
André

P.S.: Ich hatte eigentlich einen Beitrag heute Nacht gegen 1 Uhr geschrieben, der aber hier nicht mehr auftaucht? Kann ein Eintrag "verschwinden" oder war ich schon zu müde?

[xchs]

P.S.: Ich hatte eigentlich einen Beitrag heute Nacht gegen 1 Uhr geschrieben, der aber hier nicht mehr auftaucht? Kann ein Eintrag "verschwinden" oder war ich schon zu müde?

Nein, normalerweise "verschwindet" so ein Beitrag nicht ohne wirklich driftigen Grund.
Dann vielleicht doch letzteres

Oder es gab kurzfristig Probleme mit dem Server bzw. der Datenbankanbindung...

[andre.5tz]

Kann durchaus an der späten Stunde gelegen haben, ich war allerdings fest davon überzeug, auf Antworten geklickt zu haben Naja, gibt schlimmeres.

[weke]

Hallo André,

Eine Lösung habe ich eben herausgefunden. Die $_SERVER['REDIRECT_URL'] habe ich nach langem Suchen und Testen durch $_SERVER['REQUEST_URI'] geändert.

Danke für die Info! Werde mal Testen, ob deine Änderung allgemeingültig genutzt werden kann, dann ändere ich das in der Erweiterung. Bei mir hat die REDIRECT_URL auf allen Servern funktioniert.
Die Tücke liegt meistens im Details...

[andre.5tz]

Hallo weke,

vielen Dank für die Rückmeldung und für Deine Arbeit

Die Tücke liegt meistens im Details...

...und man kann nicht alle Optionen und Serverkonfigurationen kennen

So wie es jetzt ist, weiß ich auf jeden Fall, wo ich eingreifen muss damit es wieder funktioniert. Die zwei Werte kann ich dann schon noch nach einem Update für den Server ändern, so weit reicht mein PHP. Sollte REQUEST_URI insgesamt funktionieren, wäre es natürlich auch schön.

Vielen Dank nochmals.

LG
André

[blue12]

Hey,
ich habe gerade versucht die Erweiterung in Contao 2.11.4 zu installieren. Jedoch habe ich jederzeit vollen Zugriff auf die Dateien in dem geschützten Ordner und bekomme auch keine Fehlermeldungen. Egal ob ich eingeloggt bin oder nicht.

Habt ihr die Erweiterung schon positiv mit Contao 2.11.4 testen können?

Viele Grüße
Robert