Ergebnis 1 bis 9 von 9

Thema: Problem mit Zugriffsrechten/Besitzrechten

  1. #1
    Contao-Nutzer
    Registriert seit
    06.01.2014.
    Beiträge
    40

    Standard Problem mit Zugriffsrechten/Besitzrechten

    Hallo zusammen,

    ich stehe hier etwas auf dem Schlauch. Kurze Zusammenfassung:

    Lokale XAMPP-Installation, Contao 3.2.7 in einem Unterverzeichnis, SMH umgangen durch "chown apache2benutzer".


    Wenn ich versuche über "http://ipadresse/contaoverzeichnis/(...)" Dateien und Ordner im Contao-Verzeichnis aufzurufen, so werden einige davon (z.B. system-Ordner) vor Zugriffen geschützt und es erscheint eine Error 403 / Zugriff verweigert - Seite.

    Warum trifft das bei mir nicht auf alle Dateien und Ordner im Contao-Verzeichnisses zu, obwohl Rechte und Besitzer identisch sind?

    Momentan könnte sich beispielsweise jeder den Inhalt von "assets" und "files" im Browser anzeigen lassen...

    Wie kann ich das alles dicht machen?


    Danke und Gruß

  2. #2
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Hallo hermes2.11,
    das ist auch richtig so. Wenn keiner die Daten in assets sehen dürfte, dann würde man nichts von der Seite sehen. Dort werden ja alle Daten temporär abgelegt, wie CSS / Javascript / die HTML-Dateien.
    Auf files dürfen alle aus dem selben Grund zugreifen.. da liegen ja die Dateien drinn, die du auf der Seite einbindest (PDFs / Bilder / wasauchimmer).

    Viele Grüße
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

  3. #3
    Contao-Nutzer
    Registriert seit
    06.01.2014.
    Beiträge
    40

    Standard

    Ja gut, aber kann man nicht den direkten Zugriff auf die einzelnen Daten per Browser irgendwie unterbinden, bzw. ähnlich einer 404/403-Seite auf die Startseite umleiten, damit sowas nur im Seitenkontext angezeigt werden kann?


    Gruß

  4. #4
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    34.460
    Partner-ID
    10107

    Standard

    Zitat Zitat von hermes2.11 Beitrag anzeigen
    Ja gut, aber kann man nicht den direkten Zugriff auf die einzelnen Daten per Browser irgendwie unterbinden, bzw. ähnlich einer 404/403-Seite auf die Startseite umleiten, damit sowas nur im Seitenkontext angezeigt werden kann?

    Gruß
    Jein. Im "Seitenkontext" so wie du das nennst greift der Browser ja auch auf die einzelnen Dateien zu. Es macht keinen Unterschied, ob du du im Browser direkt http://www.domain.tld/files/foo.jpg öffnest, oder ob der Browser die URL http://www.domain.tld/files/foo.jpg von sich aus öffnet, weil es auf einer HTML Seite bspw. in einem <img> vorkommt...

    Prinzipiell ist sowas jedoch schon möglich. Mir fallen spontan 3 Varianten ein:
    • Du müsstest über Contao ein Session Cookie setzen lassen und dann Beispielsweise folgendes in deine .htaccess schreiben:
      Code:
      RewriteCond %{HTTP_COOKIE} !mysessioncookie=([^;]+)
      RewriteRule .+\.(jpg|css|js) forbidden.html [R=403]
      » http://stackoverflow.com/a/2248953/374996

      Damit kann ein User aber immer noch direkt http://www.domain.tld/files/foo.jpg über den Browser öffnen lassen, wenn das Session Cookie mal gesetzt ist (weil, wie gesagt, es keinen Unterschied gibt).

    • Über die .htaccess alle Dateizugriffe auf ein PHP Script leiten, dass überprüft, ob der User schon eine aktive Session hat. Ein ähnlicher Ansatz wird hier beschrieben: http://stackoverflow.com/q/2187200/374996 (dort geht es aber um eingeloggte User)

    • Contao umprogrammieren, sodass alle Assets über eine eigene Datei geladen werden - also Prinzipiell Variante zwei, nur dass Contao gleich von sich auch bspw. src="file.php?file=/files/foo.jpg" ausgibt.


    Wäre also viel Aufwand für 'wenig Ergebnis', imho. Warum genau brauchst du das?

  5. #5
    Contao-Nutzer
    Registriert seit
    06.01.2014.
    Beiträge
    40

    Standard

    Wäre also viel Aufwand für 'wenig Ergebnis', imho.
    Ja, das stimmt, vorallem wenn man noch nicht soviel Ahnung von der Materie hat.

    Ich frage mich, wie das bei anderen Seiten umgesetzt wurde:

    https://community.contao.org/de/show...ontao-Projekte

    Wenn man da bei dem ein oder anderen Projekt versucht Verzeichnisse wie assets, files oder tl_files aufzurufen, erhält man eine 403-Seite.


    Gruß

  6. #6
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    34.460
    Partner-ID
    10107

    Standard

    Zitat Zitat von hermes2.11 Beitrag anzeigen
    Wenn man da bei dem ein oder anderen Projekt versucht Verzeichnisse wie assets, files oder tl_files aufzurufen, erhält man eine 403-Seite.
    Meinst du jetzt den Aufruf des Verzeichnisses, also http://www.domain.tld/files/ oder den Aufruf von Dateien innerhalb dieser Verzeichnisse, also zB http://www.domain.tld/files/foo.jpg

    Ersteres funktioniert hoffentlich nirgends (Directory Listing sollte by default nicht eingestellt sein - ist eine Server Konfiguration).

  7. #7
    Contao-Nutzer
    Registriert seit
    06.01.2014.
    Beiträge
    40

    Standard

    Danke, Directory Listing war das Stichwort...

    Warum ist das denn bei XAMPP standardmäßig aktiviert?

    Hab "index" aus der httpd.conf entfernt und jetzt kann man nur noch gezielt auf einzelne Dateien zugreifen (wenn man den Pfad kennt).


    Edit:

    Das Directory-Listing hab ich schon öfter auf live Contao-Seiten gesehen.
    Wahrscheinlich dann ähnlich wie hier mit XAMPP.

  8. #8
    Community-Moderator
    Wandelndes Contao-Lexikon
    Avatar von Spooky
    Registriert seit
    12.04.2012.
    Ort
    Scotland
    Beiträge
    34.460
    Partner-ID
    10107

    Standard

    Zitat Zitat von hermes2.11 Beitrag anzeigen
    Warum ist das denn bei XAMPP standardmäßig aktiviert?
    Weil XAMPP für die lokale Entwicklung gedacht ist, nicht unbedingt für den Einsatz als öffentlichen Web-Server, by default .

  9. #9
    Contao-Yoda Avatar von MacKP
    Registriert seit
    15.06.2009.
    Ort
    Duisburg
    Beiträge
    13.292
    User beschenken
    Wunschliste
    Contao-Projekt unterstützen

    Support Contao

    Standard

    Ist es bei dir eventuell so, das du den Ordner tl_files aufrufen kannst und dann alle Unterordner und Dateien angezeigt bekommst?
    Dann ist das eine Server Einstellung, die du in der htaccess überschreiben kannst.

    Einfach in der htaccess im Contao Root das hier:
    Code:
    Options -Indexes
    Dann zeigt der Server nicht mehr diese Übersichten an.

    Viele Grüße

    PS: man war ich da langsam mit Antworten *g*
    Contao Pool | C-C-A | MetaModels | [Internetseite -> Mediendepot Ruhr]
    [Arbeitet bei -> Paus Design & Medien]
    "I can EXPLAIN it to you, but I can't UNDERSTAND it for you."

Aktive Benutzer

Aktive Benutzer

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)

Lesezeichen

Lesezeichen

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •