Dateien sollen nicht ueber den direkten Pfad aufrufbar sein...

Dieses Thema im Forum "Web- & File-Services" wurde erstellt von aeson, 14.08.2007.

  1. #1 aeson, 14.08.2007
    Zuletzt bearbeitet: 14.08.2007
    aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    Hallo,

    meine Frage ist ein wenig schwierig zu erklären, deswegen weiß ich auch leider nicht genau, wonach ich bei google suchen soll...

    Ich möchte verhinden das Dateien über den direkten Pfad des Webservers aufgerufen werden können.

    Beispiel:
    http://IP-Adresse/username/images/beispiel.jpg

    Ich habe bisher leider nur hinbekommen, dass ein Dirlisting des "Index of Username" verhindert wird. Das ich ein direktes Aufrufen einer Datei über den Pfad verhindern möchte, hängt damit zusammen, das ich das Ausspionieren meiner Dateien verhindern will.

    Wäre nett, wenn mir einer von euch sagen könnte, wie sich die Option nennt, die ich eigentlich suche. Ich nehme an es handelt sich hierbei um eine Einstellung beim apache.

    Danke schon mal im vorraus...
    gruß aeson
     
  2. Anzeige

    Schau dir mal diese Kategorie an. Dort findest du bestimmt etwas.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  3. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
    Das geht eigentlich über die .htaccess mit der kannst du festlegen wer im Verzeichnis wo hin darf. Alternativ gäbs noch die Möglichkeit Apache im chroot laufen zu lassen, aber das ist ziemlich umständlich.
     
  4. aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    Gehen wir mal davon aus ich würde das mit .htaccess machen... Auf welche Fehlermeldung würden die User stoßen, wenn sie dann versuchen eine der Dateien aufzurufen, die durch .htaccess geschützt ist?
     
  5. chb

    chb Steirer

    Dabei seit:
    01.06.2003
    Beiträge:
    2.359
    Zustimmungen:
    0
    Ort:
    ÖSTERREICH
    Das kannst du ja selber einstellen, aber generell 403 - Forbidden (afaik so ausm Gedächtnis) - du kannst aber auch "still" auf ne andere Seite weiterleiten.
     
  6. Cyber

    Cyber .:DISTORTED:.

    Dabei seit:
    16.05.2003
    Beiträge:
    999
    Zustimmungen:
    0
    Ort:
    D -> BW -> Karlsruhe
  7. aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    OK danke für die Antworten und die Seite sowie die Stichwörter... ich denke damit kann ich was anfangen, hab aber heute leider keine Zeit mehr... Ich werde mich melden wenn ich mein Problem gelöst habe :)

    gruß aeson
     
  8. aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    Ich bräuchte nocheinmal eure Hilfe...

    also ich habe jetzt in dem Verzeichniss, indem ich die Dateien schützen möchte eine .htaccess Datei mit folgendem Inhalt erstellt...

    Leider funktioniert es nicht wie geplant und ich gehe davon aus, dass ich einfach in der RewriteRule etwas falsch gemacht habe...

    Hinweis: mod_rewrite ist bei apache2 aktiviert.

    gruß aeson
     
  9. .mike.

    .mike. Doppel-As

    Dabei seit:
    27.08.2006
    Beiträge:
    207
    Zustimmungen:
    0
  10. #9 saeckereier, 15.08.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Rootserver? Hosted WebserveR? Managed Webserver?
    Eigentlich sollte auf den Einsatz von .htaccess Dateien aus diversen Gründe verzichtet werden.
     
  11. aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    Hallo saeckereier,

    es handelt sich um einen Didicated Root Server, wieso würdst du auf .htaccess Dateien verzichten? In vielen Boards wird .htaccess sehr empfohlen...

    gruß aeson
     
  12. #11 bitmuncher, 16.08.2007
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Das wuerde mich ja auch interessieren, warum man auf htaccess verzichten soll. Aber abgesehen davon koennte man das ganze zur Not auch ueber Rewrite-Regeln machen, so dass der User immer auf der Startseite landet.
     
  13. aeson

    aeson Foren As

    Dabei seit:
    25.04.2007
    Beiträge:
    86
    Zustimmungen:
    0
    Hallo,

    ich habe mein Problem jetzt gelöst und habe so ziemlich das erreicht was ich wollte...

    Wenn jetzt eine Datei, sei es jpg, php oder cgi über den direkten Pfad aufgerufen wird, bekommt derjenige in jedem Fall einen 403 Forbidden :D

    Ich habe folgendes in der default vom apache2 ergänzt (Pfad: /etc/apache2/sites-available/default)

    Ich danke euch allen nocheinmal für die Antworten... aber warum auf .htaccess verzichtet werden sollte würde mich dennoch interessieren.

    gruß aeson
     
  14. #13 saeckereier, 16.08.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Hat diverse Gründe. Zwei, die wichtigsten, nenne ich hier einmal:
    1. Alles was in einer htaccess Datei stehen kann, kann auch in der httpd.conf oder der jeweiligen vhost Datei konfiguriert werden (vhost Datei ist meistens ein Konstrukt bei dem ale /etc/apache2/vhost.d/*.conf Dateien includiert werden). Die Server Konfiguration gehört normalerweise root und ist für Apache nicht schreibbar. Damit wird sichergestellt, dass bei einer Sicherheitslücke im Apache ein Angreifer den Server nicht wild umkonfigurieren kann. (Sollten deine Dateien www gehören, solltest du dir das reiflich überlegen und ggf. ändern!) Wenn .htaccess Dateien an sind kann ein Angreifer da sehr böses mit machen. Beispielsweise mit aliasen auf beliebige Dateien, z. B. Sessioninfos zugreifen.
    2. Die Performance. Wenn .htaccess aktiviert ist, muss der Server sie auf jeder Ebene suchen, bei langen Serverpfaden also mehrmals und kann die Info nicht cachen. Also auch noch bei jedem Request muss gelesen werden. Daher sind diese Dateien nicht zu empfehlen und sollten nur eingesetzt werden, wenn nicht ander möglich. Typisch sind da zum Beispiel reine Webhosting Angebote, in denen der Anwender die Konfig gar nicht anfassen soll.
     
  15. Anzeige

    Vielleicht findest du HIER Antworten.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren
  16. #14 bitmuncher, 16.08.2007
    bitmuncher

    bitmuncher Der Stillgelegte

    Dabei seit:
    08.05.2007
    Beiträge:
    3.171
    Zustimmungen:
    0
    Auch eine htaccess-Datei kann root gehören und für den Server nicht schreibbar sein. Das Argument ist allein deswegen also schonmal nichtig. Ausserdem sollten die Session-Dateien bei einem ordentlich konfigurierten Webserver ausserhalb des DocumentRoot des Virtual Hosts liegen.
    Es ist problemlos möglich Infos zu cachen, die über htaccess kommen. Wir nutzen htaccess bei blog.de sehr ausgiebig um die Subdomains für die User zu ermöglichen ohne daß wir ständig an die VHosts müssen. Und da bei uns 80% der Zugriffe über den Memcache-Server laufen, soll mir bitte niemand erzählen dass Infos, die in einer htaccess stehen nicht cachebar sind. Man kann problemlos z.B. über PHP mit Hilfe der memcache-Erweiterung definieren was gecachet wird und was nicht.

    So, und nun stellt sich mir die Frage, ob du auch noch richtige Argumente gegen htaccess hast. ;)
     
  17. #15 saeckereier, 16.08.2007
    saeckereier

    saeckereier Graue Eminenz

    Dabei seit:
    08.05.2005
    Beiträge:
    1.920
    Zustimmungen:
    0
    Ort:
    Im schönen Norden
    Korrekt, sie sollten ausserhalb liegen. Trotzdem kann das in einer .htaccess überschrieben werden, natürlich lässt sich diese Möglichkeit per Konfig deaktivieren, aber wozu das Risiko bei einem eigenen Server eingehen. Dateiberechtigungen innerhalb der DocumentRoots sind so eine Sache, erfahrungsgemäß kann man da schonmal aus Versehen den Owner ändern. Natürlich ist es möglich dass fehlerfrei zu konfigurieren, aber man sollte wenn möglich und nicht wesentlich aufwändiger doch jede Möglichkeit nutzen kein Potenzial zu schaffen oder? Nebenbei ergeben sich daraus weitere Konsequenzen die man im auge behalten muss, wenn meine Datei zum Beispiel in einem Ordner der dem www gehört liegt, kann der die Datei einfach löschen und durch eine durch ihn schreibbare ersetzen..
    Mir stellt sich die Frage ob der OP memcache (mir leider unbekannt, werds mal anschauen) einsetzt und wie memcache dann mitbekommt ob die Datei geändert wurde? Ich glaube auch nicht dass das letztendlich der entscheidende Grund ist, allerdings habe ich das vielzitiert gelesen und wenn ich mich richtig erinnere auch auf apache.org Seiten. Ein letzter Punkt ist eher persönlicher Natur, ich habe gerne alle nötigen Konfigs an einem Ort, in meiner Serverconfig und nicht in .htaccess Dateien, dann muss ich mir bei der Fehlersuche keine Gedanken machen, was in welchem Ordner evtl. überschrieben wurde.
    Ich denke nicht, dass du meine Argumente komplett wiederlegt hattest, auch schon die ersten nicht. Ich will aber auch nicht sagen, dass .htaccess Files keine Daseinsberechtigung haben bzw. dass meine Gründe absolute Killerargumente seien. Ich denke nur, sie sind durchaus eine Überlegung wert. Letztendlich hängt es auch noch mit vom persönlichen gusto ab.
     
Thema:

Dateien sollen nicht ueber den direkten Pfad aufrufbar sein...

Die Seite wird geladen...

Dateien sollen nicht ueber den direkten Pfad aufrufbar sein... - Ähnliche Themen

  1. User sollen Dateien speichern und ändern, aber nicht neu anlegen dürfen

    User sollen Dateien speichern und ändern, aber nicht neu anlegen dürfen: Hallo liebe Helfer, welche Einstellungen muss ich in der smb.conf bzw. unter Linux vornehmen, damit User vorhandene Dateien öffnen und speichern...
  2. Alle Dateien eines Verzeichnisses mit einer anderen Datei vergleichen

    Alle Dateien eines Verzeichnisses mit einer anderen Datei vergleichen: Hallo, ich habe ein Verzeichnis, darin enthalten sind mehrere Dateien. Nun möchte ich alle Dateien (Parameter $1) gegen eine konstante Datei...
  3. Dateien selektieren und zählen

    Dateien selektieren und zählen: Hallo, das ist mein erster Beitrag, bitte entschuldigt, falls nicht alles richtig geschrieben ist. Ich muss meine erste Hausaufgabe als...
  4. Benötige Hilfe- Dateien vergleichen

    Benötige Hilfe- Dateien vergleichen: Hallo, für eine Arbeit an der Uni muss ich einige viele Bilder miteinander vergleichen, was ich gerne durch eine Automatisierung etwas...
  5. Amarok streikt bei *.m4a Dateien

    Amarok streikt bei *.m4a Dateien: Hallo zusammen, vor Kurzem habe ich einen neuen Rechner zusammengebaut und mit OpenSuse 13.2 aufgesetzt. Nun musste ich aber feststellen, dass...