Mitglieder und Schutz von Dateien

**mbembenek** · 14.11.2017, 17:08

Hallo liebe Community,
ich habe mal eine Frage bezüglich Mitglieder und geschützte Verzeichnisse. Ich habe eine Slide-Show die ich nur Mitglieder anbieten möchte. Wenn ich den Ordner mit den JPG´s für die Slideshow über die Dateiverwaltung als geschütztes Verzeichnis anlege wird die entsprechende htaccess Datei im Ordner generiert und die Bilder sind von außen nicht aufrufbar. Nur wenn ich mich als Mitglied anmelde erhalte ich eine 403 Meldung bei Zugriff auf die Dateien. Wenn ich andererseits den Schutz rausnehme und dem Mitglied den Ordner zuordne wird mir alles super als angemeldetes Mitglied dargestellt nur wenn ich den Pfad zu einem der Bilder kenne, kann ich es von außen auch aufrufen. Gibt es die Möglichkeit, das ich nur Mitglieder Zugriff auf einen Ordner gewähre und dieser Ordner dann nicht von außen aufrufbar wäre?

Über eine Info wäre ich euch sehr dankbar.

**Ling** · 14.11.2017, 17:45

Du kannst die Bilder ja auf der Slideshow-Seite mit Hilfe von Insert-Tags verlinken. Dann brauchst du keinen Direktzugriff auf das files-Verzeichnis. Allerdings musst du dann schauen wie lange die generierten Bilder vorhanden sind. Ich bin mir gerade nicht sicher ob die Bilder bei deaktivierten Cache jedesmal neu generiert werden.

**mbembenek** · 14.11.2017, 18:26

Zitat von Ling

Du kannst die Bilder ja auf der Slideshow-Seite mit Hilfe von Insert-Tags verlinken. Dann brauchst du keinen Direktzugriff auf das files-Verzeichnis. Allerdings musst du dann schauen wie lange die generierten Bilder vorhanden sind. Ich bin mir gerade nicht sicher ob die Bilder bei deaktivierten Cache jedesmal neu generiert werden.

Hi danke dir. Ich muss mir dann was anderes überlegen.

**Physiklehrer** · 14.11.2017, 19:46

Wenn das Schutzbedürfnis nicht ganz so groß ist, könntest du den Zugriff auf die Bilder auch mit einem Cookie verhindern. In der .htaccess leitest du alle Anfragen auf den zu schützenden Ordner (in meinem Beispiel "intern"), die nicht das im Cookie enthaltene PASSWORT haben, temporär auf die Anmeldeseite um:

PHP-Code:


RewriteCond %{THE_REQUEST} \/intern\/ [NC]

RewriteCond %{HTTP_COOKIE} !^.*PASSWORT.*$ [NC]

RewriteRule (.*) https://umleitungsseite.html [R=302,L]

Der Ordner darf natürlich nicht über Contao geschützt werden, sonst gibt es ja überhaupt keinen HTTP-Zugriff auf die Bilder, und den brauchst du ja.

Vor dem Abruf der Bilder musst du dann natürlich im Mitgliederbereich den Cookie setzen, damit die Bilder geladen werden können. D.h. du bindest dort per Inserttag {{file::schutz.html5}} die Datei schutz.html5 ein, die du mit folgendem Inhalt im Template-Ordner anlegst:

PHP-Code:


<?php

    setcookie("PASSWORT","1",0);

?>

Klar ist natürlich, dass dieses Passwort für alle Mitglieder gemeinsam gilt und von diesen auch eingesehen (und ggf. weitergegeben) werden kann. Für sensible Dinge ist das also definitiv nichts, um Google draußen zu halten aber ggf. eine Möglichkeit. Vielleicht hat aber einer der Experten hier im Forum noch eine bessere Idee?

**mbembenek** · 15.11.2017, 08:46

Zitat von Physiklehrer

Wenn das Schutzbedürfnis nicht ganz so groß ist, könntest du den Zugriff auf die Bilder auch mit einem Cookie verhindern. In der .htaccess leitest du alle Anfragen auf den zu schützenden Ordner (in meinem Beispiel "intern"), die nicht das im Cookie enthaltene PASSWORT haben, temporär auf die Anmeldeseite um:

PHP-Code:


RewriteCond %{THE_REQUEST} \/intern\/ [NC]

RewriteCond %{HTTP_COOKIE} !^.*PASSWORT.*$ [NC]

RewriteRule (.*) https://umleitungsseite.html [R=302,L]

Der Ordner darf natürlich nicht über Contao geschützt werden, sonst gibt es ja überhaupt keinen HTTP-Zugriff auf die Bilder, und den brauchst du ja.

Vor dem Abruf der Bilder musst du dann natürlich im Mitgliederbereich den Cookie setzen, damit die Bilder geladen werden können. D.h. du bindest dort per Inserttag {{file::schutz.html5}} die Datei schutz.html5 ein, die du mit folgendem Inhalt im Template-Ordner anlegst:

PHP-Code:


<?php

    setcookie("PASSWORT","1",0);

?>

Klar ist natürlich, dass dieses Passwort für alle Mitglieder gemeinsam gilt und von diesen auch eingesehen (und ggf. weitergegeben) werden kann. Für sensible Dinge ist das also definitiv nichts, um Google draußen zu halten aber ggf. eine Möglichkeit. Vielleicht hat aber einer der Experten hier im Forum noch eine bessere Idee?

Hi, danke für deine Antwort. Dann kann ich das Ganze lieber außerhalb von Contao platzieren und den Ordner dann mit einer htacess schützen.

**Spooky** · 15.11.2017, 09:23

Unter Contao 3 könnte man das mit https://github.com/fritzmg/contao-file-access umsetzen.

**mbembenek** · 15.11.2017, 09:34

Zitat von Spooky

Unter Contao 3 könnte man das mit https://github.com/fritzmg/contao-file-access umsetzen.

Hi klasse, das hört sich gut an. Ich werde das mal testen. Vielen Dank!

**Dublay** · 14.12.2018, 16:33

Hallo, ich greife mal dieses Thema auf, da es für mich gerade aktuell ist. Gibt es so eine Erweiterung auch für Contao 4? Ich möchte ebenfalls einen Ordner nur für bestimmte Mitgliedergruppen erreichbar machen, nicht aber für den Zugriff von außen. Danke!