Problem mit Zugriffsrechten/Besitzrechten

**hermes2.11** · 15.04.2014, 17:24

Hallo zusammen,

ich stehe hier etwas auf dem Schlauch. Kurze Zusammenfassung:

Lokale XAMPP-Installation, Contao 3.2.7 in einem Unterverzeichnis, SMH umgangen durch "chown apache2benutzer".

Wenn ich versuche über "http://ipadresse/contaoverzeichnis/(...)" Dateien und Ordner im Contao-Verzeichnis aufzurufen, so werden einige davon (z.B. system-Ordner) vor Zugriffen geschützt und es erscheint eine Error 403 / Zugriff verweigert - Seite.

Warum trifft das bei mir nicht auf alle Dateien und Ordner im Contao-Verzeichnisses zu, obwohl Rechte und Besitzer identisch sind?

Momentan könnte sich beispielsweise jeder den Inhalt von "assets" und "files" im Browser anzeigen lassen...

Wie kann ich das alles dicht machen?

Danke und Gruß

**MacKP** · 15.04.2014, 17:39

Hallo hermes2.11,
das ist auch richtig so. Wenn keiner die Daten in assets sehen dürfte, dann würde man nichts von der Seite sehen. Dort werden ja alle Daten temporär abgelegt, wie CSS / Javascript / die HTML-Dateien.
Auf files dürfen alle aus dem selben Grund zugreifen.. da liegen ja die Dateien drinn, die du auf der Seite einbindest (PDFs / Bilder / wasauchimmer).

Viele Grüße

**hermes2.11** · 16.04.2014, 08:20

Ja gut, aber kann man nicht den direkten Zugriff auf die einzelnen Daten per Browser irgendwie unterbinden, bzw. ähnlich einer 404/403-Seite auf die Startseite umleiten, damit sowas nur im Seitenkontext angezeigt werden kann?

Gruß

**Spooky** · 16.04.2014, 09:08

Zitat von hermes2.11

Ja gut, aber kann man nicht den direkten Zugriff auf die einzelnen Daten per Browser irgendwie unterbinden, bzw. ähnlich einer 404/403-Seite auf die Startseite umleiten, damit sowas nur im Seitenkontext angezeigt werden kann?

Gruß

Jein. Im "Seitenkontext" so wie du das nennst greift der Browser ja auch auf die einzelnen Dateien zu. Es macht keinen Unterschied, ob du du im Browser direkt http://www.domain.tld/files/foo.jpg öffnest, oder ob der Browser die URL http://www.domain.tld/files/foo.jpg von sich aus öffnet, weil es auf einer HTML Seite bspw. in einem <img> vorkommt...

Prinzipiell ist sowas jedoch schon möglich. Mir fallen spontan 3 Varianten ein:

Du müsstest über Contao ein Session Cookie setzen lassen und dann Beispielsweise folgendes in deine .htaccess schreiben:
Code:
```
RewriteCond %{HTTP_COOKIE} !mysessioncookie=([^;]+)
RewriteRule .+\.(jpg|css|js) forbidden.html [R=403]
```
» http://stackoverflow.com/a/2248953/374996

Damit kann ein User aber immer noch direkt http://www.domain.tld/files/foo.jpg über den Browser öffnen lassen, wenn das Session Cookie mal gesetzt ist (weil, wie gesagt, es keinen Unterschied gibt).
Über die .htaccess alle Dateizugriffe auf ein PHP Script leiten, dass überprüft, ob der User schon eine aktive Session hat. Ein ähnlicher Ansatz wird hier beschrieben: http://stackoverflow.com/q/2187200/374996 (dort geht es aber um eingeloggte User)
Contao umprogrammieren, sodass alle Assets über eine eigene Datei geladen werden - also Prinzipiell Variante zwei, nur dass Contao gleich von sich auch bspw. src="file.php?file=/files/foo.jpg" ausgibt.

Wäre also viel Aufwand für 'wenig Ergebnis', imho. Warum genau brauchst du das?

**hermes2.11** · 16.04.2014, 09:27

Wäre also viel Aufwand für 'wenig Ergebnis', imho.

Ja, das stimmt, vorallem wenn man noch nicht soviel Ahnung von der Materie hat.

Ich frage mich, wie das bei anderen Seiten umgesetzt wurde:

https://community.contao.org/de/show...ontao-Projekte

Wenn man da bei dem ein oder anderen Projekt versucht Verzeichnisse wie assets, files oder tl_files aufzurufen, erhält man eine 403-Seite.

Gruß

**Spooky** · 16.04.2014, 09:34

Zitat von hermes2.11

Wenn man da bei dem ein oder anderen Projekt versucht Verzeichnisse wie assets, files oder tl_files aufzurufen, erhält man eine 403-Seite.

Meinst du jetzt den Aufruf des Verzeichnisses, also http://www.domain.tld/files/ oder den Aufruf von Dateien innerhalb dieser Verzeichnisse, also zB http://www.domain.tld/files/foo.jpg

Ersteres funktioniert hoffentlich nirgends (Directory Listing sollte by default nicht eingestellt sein - ist eine Server Konfiguration).

**hermes2.11** · 16.04.2014, 09:55

Danke, Directory Listing war das Stichwort...

Warum ist das denn bei XAMPP standardmäßig aktiviert?

Hab "index" aus der httpd.conf entfernt und jetzt kann man nur noch gezielt auf einzelne Dateien zugreifen (wenn man den Pfad kennt).

Edit:

Das Directory-Listing hab ich schon öfter auf live Contao-Seiten gesehen.
Wahrscheinlich dann ähnlich wie hier mit XAMPP.

**Spooky** · 16.04.2014, 10:00

Zitat von hermes2.11

Warum ist das denn bei XAMPP standardmäßig aktiviert?

Weil XAMPP für die lokale Entwicklung gedacht ist, nicht unbedingt für den Einsatz als öffentlichen Web-Server, by default

.

**MacKP** · 16.04.2014, 10:02

Ist es bei dir eventuell so, das du den Ordner tl_files aufrufen kannst und dann alle Unterordner und Dateien angezeigt bekommst?
Dann ist das eine Server Einstellung, die du in der htaccess überschreiben kannst.

Einfach in der htaccess im Contao Root das hier:

Code: