Verzeichnisschutz verhindert Dateiauswahl

**wsa** · 19.05.2016, 12:49

Hallo zusammen,

finde zu meine Problem trotz intensiver Suche weder passenden Einträge noch eine Lösung:

Vorgeschichte: Um zu verhindern, dass Bilder/Grafiken aus dem Verzeichnis tl_files und Unterverzeichnissen in fremde Webseiten eingebaut werden können (deep linking), habe ich das Verzeichnis mit einer speziellen .htaccess davor geschützt.

Code:

RewriteEngine On
##
# Deny DeepLinking for Images
##
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?erlaubtedomain1.tld(/)?.*$     [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?erlaubtedomain2.tld(/)?.*$     [NC]
RewriteCond %{HTTP_REFERER} !^http://(www\.)?subdomain.erlaubtedomain3.tld(/)?.*$     [NC]
RewriteRule .*\.(gif|jpg|jpeg|bmp|png)$ - [F]

Dies funktioniert wunderbar; d.h. alle Dateien sind sowohl vom Contao-Backend als auch von den erlaubten Domänen aus aufrufbar, nicht jedoch von fremden Domänen.

Mein Problem: Wenn ich nun im Backend z.B. unter Themes / Stylesheets ein Hintergrundbild aus dem Verzeichnis tl_files einbinden möchte,
Hintergrundbild_auswaehlen.png
ist die Auswahl unter Contao-Dateien und Dateibrowser leer.
Hintergrundbild_auswaehlen2.png

Entferne ich die .htaccess aus tl_files, funktioniert diese Funktion wieder - allerdings ist dann deep linking auch wieder möglich.

Was mache ich falsch?

**Andreas** · 19.05.2016, 14:18

Versuch mal

Code:

... erlaubtedomain1.tld(/)* ...

nicht dass du dort doppelte Slashes hast. (Sorry, dürfte nichts bringen, da das ".*" ja auch weiter Slashes findet.)

Ansonsten würde mir nur einfallen den REFERER dort zu debuggen. Habe ich mal gemacht, weiß aber nicht mehr, wie das geht. Es gibt dafür ne Debug-Möglichkeit von Apache.

**Andreas** · 19.05.2016, 14:23

Versuchs mal mit

Code:

RewriteCond %{HTTP_HOST} !^erlaubt\.tld$ [NC]

**wsa** · 19.05.2016, 15:07

Code:

RewriteCond %{HTTP_HOST} !^erlaubt\.tld$ [NC]

bringt leider keinen Erfolg.

Und für das von dir vorgeschlagene Debugging bräuchte ich Direktzugriff auf den Apache-Server!? Oder hab ich das missverstanden?

**Znrl** · 19.05.2016, 15:55

Lass dir den Referer doch mal ausgeben.

Vielleicht ist der ja leer (erste Cond) oder sonstwas.
Keine Ahnung was fürn Referer z.B. bei nem Ajax Request dort übergeben wird.
Das ist ja prinzipiell auch manipulierbar und somit kein 100% Schutz.

Ist das bei dir denn ein Problem mit dem Klau oder Traffic?

**Andreas** · 19.05.2016, 19:14

Zitat von wsa

Und für das von dir vorgeschlagene Debugging bräuchte ich Direktzugriff auf den Apache-Server!? Oder hab ich das missverstanden?

Zumindestens die Möglichkeit eigene Einstellungen in der httpd.conf zu setzen. Ich kann das in meinem Account per Domain. Bei mir geht das so

PHP-Code:


RewriteLog "/home/files/mod_rewrite.log" 

# 0 - 5, 0 = disable

RewriteLogLevel 5

Der Pfad /home/files/ muss natürlich existieren. Meine Apache-Version kann ich leider nicht rausfinden, PHP sagt mir nur "Apache" und im Anwortheader der Seite steht Server: "nginx/1.2.1".
https://wiki.apache.org/httpd/RewriteLog

**wsa** · 20.05.2016, 08:48

Zitat von Znrl

Lass dir den Referer doch mal ausgeben.

Wie bzw. wo genau mache ich das? Hab da echt keine Idee.

**Andreas** · 20.05.2016, 10:25

Probier mal ne Netzwerkanalyse mit den Dev-Tools.

**wsa** · 24.05.2016, 12:01

Zitat von Andreas

Probier mal ne Netzwerkanalyse mit den Dev-Tools.

Sorry, aber ich steh wohl aufm Schlauch. Wie genau soll ich die DEV-Tools einsetzen? Hab keine Ahnung wonach ich suchen soll.

Das entsprechende SELECT-Menü enthält ja keine Optionen, d.h. der HTML-Code hierfür wird nicht erzeugt. Wie bzw. wo können jetzt die DEV-Tools weiterhelfen?

**Andreas** · 24.05.2016, 13:59

Dev-Tools öffnen mit F12 und auf den Netzwerk-Tab gehen. In dem Moment wo die Serveranfrage gestellt wird, also das Popup geöffnet wird, müsste diese Anfrage im Netzwerk-Tab sichtbar sein. Ist nur so ne Idee.