Geschützte Datei in Google auffindbar

**scroll** · 07.12.2016, 17:48

Hallo,

ich habe das Problem das eine geschützte PDF-Datei in Google auffindbar ist.

Folgende Konstellation:

Contao 2.10.3 (ich weiß, ein Update ist nötig)
die Datei preisliste.pdf liegt in der Dateiverwaltung in einem Verzeichnis, das mit den vorhandenen Contao-Mitteln (Schloss-Symbol) geschützt ist, eine htaccess-Datei liegt auch im Verzeichnis
diese Datei wird auf einer geschützten Seite als Download angeboten, die nur mit Logindaten erreichbar ist

Folgende Suchanfrage führt mich direkt zu der PDF-Datei (erste Ergebnis): Entfernt
Warum finde ich diese Datei über die Google-Suche? Was muss ich machen das diese Datei wirklich geschützt ist und nicht gefunden werden kann?

Gruß Michael

**scroll** · 07.12.2016, 17:52

Okay, habe im Inhaltselement Download nochmals das Element geschützt und nur eingeloggten Mitgliedern den Download erlaubt.

Aber ganz ehrlich, ist das nötig?
Die Datei ist geschützt, die Seite ist nur Mitgliedern zugänglich - das sollte doch genügen?

Gruß Michael

**mlweb** · 07.12.2016, 17:58

Das was über Google erreichbar ist, ist aber eine HTML- Seite und keine PDF-Datei zum Download.

**scroll** · 07.12.2016, 18:05

Ja jetzt.

Nachdem ich das Inhaltselement Download geschützt und nur eingeloggten Mitgliedern den Download erlaubt habe.
Vorher konnte die PDF runtergeladen werden!

**andre.saage** · 07.12.2016, 18:08

Hast du denn mit diesem Link jemals die PDF bekommen oder bist du nur auf der "alle-vor-ort-produkte" Seite mit einem Queryparameter gelandet?

Könnt ähnlich gelagert sein wie das hier: https://github.com/contao/core/issues/8375

**scroll** · 07.12.2016, 18:11

Wie schon erwähnt, ich konnte die PDF direkt downloaden.
Es scheint ja mit dem zusätzlichen Schutz des Downloads in Ordnung zu sein.

**fusch** · 07.12.2016, 21:22

Hallo,

ja, das geht, denn Du hast die Datei über das Downloads-Element eingebunden. Hier greift die htaccess nicht, denn sonst könntest Du die geschützten Dateien nirgendwo aufrufen.
Die Datei ist direkt nicht aufrufbar (über www.domain.de/tl_files/deine.pdf), nur über das Downloadselement. Und das musst Du eben schützen und nur für die passenden Gruppen freigeben.

Gruß
Hella

**Spooky** · 07.12.2016, 22:49

Seiner Aussage nach war aber das Downloads Element bereits auf einer geschützten Seite eingebunden.

**tab** · 07.12.2016, 23:58

Ja, das ist unschön, fast schon eher ein Bug. Obwohl es in gewisser Weise konsistent damit ist, dass ja auch veröffentlichte Artikel auf einer unveröffentlichten Seite trotzdem ausgegeben werden können. Der Download einer Datei auf einer geschützten Seite ist auch ohne Berechtigung möglich, wenn man die entsprechende URL kennt. Deshalb muss das Downloadelement auf der geschützten Seite nochmal extra nur für die berechtigten Gruppen bzw Mitglieder angezeigt werden. Von Google hätte der Download aber so eigentlich nicht gefunden werden dürfen. Außer wenn die Seite eine zeitlang nicht geschützt war, so dass sie vom GoogleBot verarbeitet werden und die Datei damit in den Index aufgenommen werden konnte. Wenn sie dann mal drin ist im Index, hat der Bot jederzeit Zugriff auf die Datei und die bleibt damit im Index. Außer eben, wenn das Downloadelement für Gäste nicht ausgegeben wird.

**Spooky** · 08.12.2016, 08:52

Hm, das muss ich mal überprüfen, kann mir nicht vorstellen, dass das so vorgesehen ist.

**Spooky** · 08.12.2016, 10:13

Also in Contao 3.5.19 kann ich keines der beiden Probleme nachvollziehen. Man muss also prinzipiell nicht auch zusätzlich das Download(s) Inhaltselement oder Teaser Artikel schützen - vorausgesetzt man verwendet die neueste Contao Version.

**tab** · 08.12.2016, 10:43

Sorry, du hast Recht. In der Demo geht es auch nicht. Ich hatte das in einer eigenen Installation ausprobiert, wo ich die Downloads auf einer anderen, speziellen Seite verarbeite. Dort war zwar die Seite mit dem im Template von mir erzeugten Download-Link geschützt, aber nicht die verlinkte Seite, die den Download verarbeitet. Das ist etwas, was bei normalen Downloadelementen nicht passieren kann, weil die immer von der Seite verarbeitet werden, auf der sie auch eingebunden sind. Ist diese geschützt, dann gibt es auch keinen Download. Bei mir dagegen schon, weil der Link ja gar nicht die geschützte Seite aufruft, sondern eine andere, ungeschützte Seite. Ich habe diese Seite jetzt geschützt und es funktioniert jetzt auch da richtig, der Aufruf führt zu einem 403. Wenigstens mal wieder ein Sicherheitsloch gestopft bei der Gelegenheit.