Download-Datei mit Passwort schützen (aber auf Homepage für alle sichtbar machen)

**dawson** · 18.02.2018, 16:11

Hallo zusammen,
ich seh mal wieder den Wald vor lauter Bäumen nicht....

Ich müsste PDF-Dateien, die ich auf der Seite über eine Portfolio-Liste einbinde via Passwort schützen.
Das Problem ist - die Auflistung der Dateien soll sichtbar sein - aber der Download geschützt.
Über den Schutz via Mitgliedergruppe kann ich ja nur die Anzeige der Dateien verhindern - aber nicht den Download selbst.

Edit: also, um es anders zu sagen: bei einem Klick auf eine Download-Datei (hier PDF oder pps) soll die Login-Abfrage kommen und dann erst die Datei zum Download angeboten werden.

Kann mir da einer einen Tipp geben, wie ich das umbauen kann?

Danke schon mal...

**Stefko** · 18.02.2018, 16:21

Ahoi, was passiert denn, wenn Du die Dateien in ein Verzeichnis packst, das Du per .htacces und .htpasswd sicherst?

Gesendet von iPhone mit Tapatalk Pro

**dawson** · 18.02.2018, 16:38

Wie erwartet: man sieht die Dateiliste und man kann die Dateien ganz normal herunter laden.
Die Funktion dahinter ist ja nur die, dass man die Dateien nicht mehr direkt per URL-Aufruf herunterladen kann.

Jetzt müsste ich praktisch diese htaccess-Datei bearbeiten und selbst Passwörter und User hinterlegen - aber keine Ahnung, ob Contao das verträgt und ob das sinnvoll ist - schließlich habe ich die Passwörter der Mitglieder nicht - die registrieren sich ja einfach.

EDIT: oh, Moment. Du meintest, ich soll die htaccess-Datei manuell anlegen und nicht den Ordnerzugriff über Contao regeln? Wäre natürlich eine Idee - aber siehe oben, dann haben wir das Problem, dass ich ja die PWs nicht weiß - und abgesehen davon auch bei den ganzen Mitgliedern etwas überbeschäftigt wäre, die htaccess-Dateien ständig anzupassen und zu erweitern.
....
außer, man legt ein einziges, für alle Mitglieder gültiges, Passwort fest. Dann müssen sich die Mitglieder halt zwei Passwörter merken .... naja...

**Andreas** · 19.02.2018, 00:43

Was hältst du davon die Downloadliste zweimal anzulegen. Einmal "Nur Gäste" und einmal für Gruppen.

Für die Gäste modifizierst du das Template ce_downloads, sodass dort zwar die Dateien angezeigt werden, aber ohne Links. Dann noch ein Hinweis "Zum Download der Dateien bitte einloggen..." o.ä.

**Stefko** · 19.02.2018, 07:04

Auf der Idee von Andreas aufbauend fällt mir noch was ein:
Die ce_downloads dahingehend umbauen, das geprüft wird, ob der Besucher angemeldet ist. Wenn ja, wird die Liste ganz normal mit Links ausgegeben. Ist er nicht angemeldet wird die Liste zwar ausgegeben, aber ohne Links auf die PDFs. Stattdessen erscheint bei Klick eine Meldung (zB Modal Box *), dass er sich doch bitte anmelden solle.
So müsste nur eine Liste gepflegt werden.

* https://www.w3schools.com/howto/howto_css_modals.asp

Gesendet von iPad mit Tapatalk Pro

**Spooky** · 19.02.2018, 09:00

Zitat von Andreas

Was hältst du davon die Downloadliste zweimal anzulegen. Einmal "Nur Gäste" und einmal für Gruppen.

Für die Gäste modifizierst du das Template ce_downloads, sodass dort zwar die Dateien angezeigt werden, aber ohne Links. Dann noch ein Hinweis "Zum Download der Dateien bitte einloggen..." o.ä.

Vorsicht, das würde auch nicht eingeloggten Gäste ermöglichen die Datei runterzuladen (wenn sie wissen wie Contao bzw. das Download Inhaltselement funktioniert).

**Stefko** · 19.02.2018, 09:15

Ich habe meine Idee von eben mal ausprobiert und es funktioniert.
Ob angemeldet oder nicht, beide sehen die gleiche Liste, aber der Nichtangemeldete kann nicht downloaden und erhält statt dessen einen Hinweis.

Hier meine geänderte ce_downloads.html5

PHP-Code:


<?php $this->extend('block_searchable'); ?>



<?php $this->block('content'); ?>



<?php if (FE_USER_LOGGED_IN): ?> 

    <ul>

        <?php foreach ($this->files as $file): ?>

          <li><?= Image::getHtml($file['icon'], '', 'class="mime_icon"') ?> <a href="<?= $file['href'] ?>" title="<?= $file['title'] ?>"><?= $file['link'] ?> <span class="size">(<?= $file['filesize'] ?>)</span></a></li>

        <?php endforeach; ?>

    </ul>

<?php else: ?>

    <ul>

        <?php foreach ($this->files as $file): ?>

          <li><?= Image::getHtml($file['icon'], '', 'class="mime_icon"') ?> <a href="#" onClick="alert('bitte einloggen zum Download')"  title="bitte einloggen zum Download"><?= $file['link'] ?> <span class="size">(<?= $file['filesize'] ?>)</span></a></li>

        <?php endforeach; ?>

    </ul>

<?php endif; ?>



<?php $this->endblock(); ?>

**Spooky** · 19.02.2018, 09:16

Wie gesagt, nicht eingeloggte User können damit die Datei immer noch herunterladen

**Andreas** · 19.02.2018, 10:22

@Stefko, ja, die Idee hatte ich auch, habe sie aber nicht aufgeführt, da man mit der anderen Lösung direkt die erlaubte Gruppe/n im Inhaltselement auswählen kann.

@Spooky, ist es so, dass alleine das Inhaltselement ce_downloads dafür sorgt, dass der Link mit file=xxx funktioniert? Ja, dann wäre dies keine sichere Lösung. Oder würde dieser Link immer funktionieren, egal auf welcher Seite man ist? Wenn ja, dann wäre dies ja im allgemeinen kein wirklicher Schutz.

Dann gäbe es noch die Möglichkeit den Output anhand eines ce_downloads Elementes selber zu generieren. ce_html:

Code:

{{file::render-downloads-no-link.php?ceid=42}}

**Spooky** · 19.02.2018, 10:35

Zitat von Andreas

@Spooky, ist es so, dass alleine das Inhaltselement ce_downloads dafür sorgt, dass der Link mit file=xxx funktioniert?

Ja, das Inhaltselement verarbeitet den ?file= Parameter.

**Stefko** · 19.02.2018, 11:02

Zitat von Spooky

Wie gesagt, nicht eingeloggte User können damit die Datei immer noch herunterladen

okeeeeeeee ...
Aber dazu müssten sie dann ja den Pfad und den Dateinamen kennen und letzterer lässt sich ja "verschleiern" wenn man in der Dateiverwaltung dem PDF bei den Meta-Informationen einen Titel gibt.
Ich weiß ja nicht wie geheim/sicherheitskritisch die PDFs sind und über welche kriminelle Energie die Besucher der fraglichen Seite verfügen ...

Das wäre dann evtl. noch ein Aspekt zu dem sich @dawson nochmal äußern müsste

**Spooky** · 19.02.2018, 11:04

Security through obscurity is no security.

**Stefko** · 19.02.2018, 11:13

Zitat von Spooky

Security through obscurity is no security.

Da hast Du natürlich recht.
Aber unter dem Aspekt kollidieren dann schon in der anfänglichen Fragestellung zwei konträre Punkte: Einerseits der Anspruch "alle können alles sehen" und "nur eingeloggte das dann auch downloden".

Es ist halt die Frage um was es hierbei geht und wir kritisch die Dokumente sind. Handelt es sich um die Satzung eines Kegelclubs und die Einladung zur nächsten Neckar-Rundfahrt würde ich sagen, "passt schon Jung, machet so". Sind es sensible Daten einer Artzpraxis, Anwaltskanzlei, Suchtberatung, ... würde ich von diesem Vorgehen auch abraten.
Nix genaues weiß man halt nicht

**Andreas** · 19.02.2018, 11:26

Birgt die Gefahr, dass man den Hintergrund vergisst und später nur noch sieht "Ah, die Dateien sind vor einem Download geschützt." Obwohl die Downloads in Wahrheit nur verschleiert sind.

**Stefko** · 19.02.2018, 11:43

Das mit dem "verschleiern" hätte ich besser mal nicht gesagt

Aber in der Tat sind die Daten so gut/schlecht geschützt wie Contao dies eben zulässt. Wenn ich Pfad und Namen der Datei kenne komme ich immer an diese.

**Spooky** · 19.02.2018, 11:46

Zitat von Stefko

Wenn ich Pfad und Namen der Datei kenne komme ich immer an diese.

Nein, immer nicht, je nach dem wie du es eingerichtet hast.

**Andreas** · 19.02.2018, 11:54

Wenn du auf einer Seite bist, auf welchem ein ce_download/s Element ist kommst du an solch eine Datei, sonst nicht (davon ausgehend, dass der Ordner geschützt ist, sonst käme man immer an die Datei).

**Stefko** · 19.02.2018, 12:10

Zitat von Andreas

Wenn du auf einer Seite bist, auf welchem ein ce_download/s Element ist kommst du an solch eine Datei

*stirnklatsch* das stimmt natürlich, mein Denkfehler

Und ich wollte schon ein Six-Pack Karlsruher Bier verwetten ... naja, vlt hat ja trotzdem einer Lust/Langeweile/Durst -> http://vanilla.lobsterlounge.de/

**dawson** · 01.03.2018, 17:02

Hallo zusammen.
Vielen, vielen Dank für die massigen Beiträge zu meinem Problem.
Wie ich sehe, ist das scheinbar gar nicht so einfach - oder gar überhaupt nicht möglich?!?

Wenn ich das alles richtig verstehe/deute, so ist die anfängliche Lösung von "Andreas" also auch nicht sicher?

Zu eurer Frage, was das für Dateien sind: es sind Vorträge und Sitzungsprotokolle aus einem internen Gremium, welche eben nur die Mitglieder der Gremien herunter laden dürfen.

Wie könnte ich das nun auf sichere Art und Weise nachbauen?

Edit: entschuldigt, dass ich so lange nicht geantwortet habe, mich hat die Grippe voll im Griff gehabt und dadurch mein Projekt "etwas" aus den Augen verloren. ;-)

**Spooky** · 01.03.2018, 17:04

Du machst dir für den nicht eingeloggten Zustand ein Template/Modul, womit du die Dateien auflisten lässt und für den eingeloggten Zustand verwendest du das Downloads Inhaltselement.