Flashforum - Die Community zu Adobe Flash, Flex AIR. Web Design und Inspiration.

Basti2003 · 27-02-2004, 14:14

Hi,

Folgendes:
In einer Passwort-Geschützen Bilder-Datenbank sind natürlich Fotos zu sehen. Gesichert sind die Seiten (!) mit Sessions.

Nun ist es so, wenn jmd mit der rechten Maustaste aufs Bild klickt, sieht er in den Eigenschaften die genazue Adresse (www.adresse.de/grafik.jpg) und kann diese auch ohne PW aufrufen .

Das muss ich irgendwie abfangen und verhindern.

Möglichkeit 2 wäre, dass man ihm erst garkeinen Zugang zu der URL gibt. Viele Bilder-Galerien geben die Adresse dann so an: ....pic.php?id=144 .... Dann könnte man ihn doch abfangen oder ??
(Wie würde so ein Script dann aussehen ? Wenn ,man wieder schreibt <img src=\"PIC/nr$var\">... sieht es der USer ja wieder ?!

Basti

Samuel · 27-02-2004, 15:33

Du sicherst was mit sessions? also kumpel, du sicherst dir so garnichts, hier muss htaccess her mein Freund (

@mal_anders, sag nichts.

Ich sollte wirklich mal n tut für sowas schreiben)

Lese: http://selfhtml.teamone.de/diverses/htaccess.htm

Verweis hierauf: htaccess ,download unterbindung

Theorie: User greift auf php script zu, alles ok, mach was du willst mit den bildern. (Standart prozedere)

User versucht auf Bilder direkt zu zugreifen, htaccess fängt das ab (in dem zweiten link von mir ist der letzte beitrag ne erklärung), sendet angabe zu der php und die prüft, session ok? Dann nimm dir das bild, session nicht ok, arschtritt, ist n wenig kompleziertes problem

Basti2003 · 27-02-2004, 15:38

Danke,...

Naja, Also die Eingabe von KundenID, Name, Pw wird erstmal mit der MySQL DB abgeglichen

Wenn korrekt, wird Name und KundenID in Sessions geschrieben

Beim Aufrufen seiner Page wird nun überprüft, ob die KundenID aus dem ordner (variable wird in einer simplen PHP Datei festgelegt) gleich der aus der Session ist und weiter, ob die beiden Usernamen aus MySQL und Session übereinstimmen.

Was ist denn so unsicher daran ?

Gibt es für den User eine Möglichkeit, die Sessions zu knacken bzw. auszulesen ?

(Passwörter werden immer mit md5 verschlüsselt (in der DB gespeichert und behandelt))

EDIT: Aus deinem verlinktenm Thead:

Zitat:

Vorrausetzung ist allerdings das aktivierte Mod_Rewrite Modul, ohne dieses geht garnichts.

Da ich nur ein Webspace Paket habe, glaube ich kaum, dass das aktiviert ist (sofern das kein Standart ist ?)

Samuel · 27-02-2004, 15:45

also die verwaltung der session is erstmal hierfür völlig irrelevant, es geht darum ,dass wenn jemand direkt auf die bild url geht, die session es nich mal merckt, sprich bild bekommen, registriert, nicht nötig.

Wenn du n ordner mit /blah/biler hast ,dann ist das unsicher, vor allem, wenn das fency indexing an ist und dir der server sofort und frei ne auflistung der dateien bringt, womit du dir die session prüfung gleich löschen kannst,

auf deinem packet kannst du mal einfach ne php datei mit phpinfo(); aufrufen und hier mal verlinken, dann sag ich dir, ob modrewrite an ist.

Zur not geht eine standart htaccess protection des ordners.

Basti2003 · 27-02-2004, 16:22

http://www.skytec-designs.de/phpinfo.php

Das ist die Info-Datei
Scheint wohl aktiviert zu sein, oder ?

Mit dem Passwort-Schutz werden noch einige Wenige andere Bereiche abgedeckt....

"fency indexing" ist nicht aktiviert

D.h. die Lösung aus deinem Thread funktioniert ?

Basti

Samuel · 27-02-2004, 16:32

Wow, der server is toll, unsicher, aber toll

Gedulde dich n wenig, ich schreib grad n tut darüber, spätestens morgen wirds fertig sein, ist n wenig schweres thema, aber in meinen vorherigen posts und links steht schon alles, was du brauchst

Basti2003 · 27-02-2004, 17:19

Zitat:

Geschrieben von Marilyn Manson
Wow, der server is toll, unsicher, aber toll

Gedulde dich n wenig, ich schreib grad n tut darüber, spätestens morgen wirds fertig sein, ist n wenig schweres thema, aber in meinen vorherigen posts und links steht schon alles, was du brauchst

Hey, das ist nett von dir.

Du machst mir ja richtig Angst, wieso unsicher ?

Ich dachte, da bin ich gut aufgehoben

Ich freue mich schon drauf

Basti

Samuel · 27-02-2004, 17:46

bin kein server profi, reg globals ist on, s nicht tragisch, aber kann schlecht sein und zuviele module... wer weiß, vielleicht is das schlecht, vielleicht nicht, aber es ist perfekt zum entwickeln

Basti2003 · 27-02-2004, 17:54

Zitat:

Geschrieben von Marilyn Manson
bin kein server profi, reg globals ist on, s nicht tragisch, aber kann schlecht sein und zuviele module... wer weiß, vielleicht is das schlecht, vielleicht nicht, aber es ist perfekt zum entwickeln

Na dann, www.hosteurope.de gibt zumindest auf der Homepage an, alles Mögliche für höchstmögl. Sicherheit zu tun

Samuel · 27-02-2004, 18:45

Hier is der Link, ob du damit klar kommst, ist ne gute Frage

Tutorial: .htaccess Schutz für jegliche Dateien ( für Fortgeschrittene)

Basti2003 · 27-02-2004, 19:24

Ich habs mal ausgedruckt und werd es mir als Abendlektüre vornehmen, Danke

Basti2003 · 27-02-2004, 21:30

Zitat:

Geschrieben von Basti2003
Ich habs mal ausgedruckt und werd es mir als Abendlektüre vornehmen, Danke

Hast Du klasse geschrieben...

Einmal gelesen und verstanden.... obs funktioniert, wird morgen getestet....

Dickes Lob von mir

Samuel · 27-02-2004, 22:13

oh, das freut mich, mein erster test

27-02-2004, 14:14	#1 (permalink)
Basti2003 Neuer User Registriert seit: Oct 2003 Beiträge: 63	DeepLinks abfangen ?? Hi, Folgendes: In einer Passwort-Geschützen Bilder-Datenbank sind natürlich Fotos zu sehen. Gesichert sind die Seiten (!) mit Sessions. Nun ist es so, wenn jmd mit der rechten Maustaste aufs Bild klickt, sieht er in den Eigenschaften die genazue Adresse (www.adresse.de/grafik.jpg) und kann diese auch ohne PW aufrufen . Das muss ich irgendwie abfangen und verhindern. Möglichkeit 2 wäre, dass man ihm erst garkeinen Zugang zu der URL gibt. Viele Bilder-Galerien geben die Adresse dann so an: ....pic.php?id=144 .... Dann könnte man ihn doch abfangen oder ?? (Wie würde so ein Script dann aussehen ? Wenn ,man wieder schreibt <img src=\"PIC/nr$var\">... sieht es der USer ja wieder ?! Basti

27-02-2004, 15:33	#2 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	Du sicherst was mit sessions? also kumpel, du sicherst dir so garnichts, hier muss htaccess her mein Freund (@mal_anders, sag nichts. Ich sollte wirklich mal n tut für sowas schreiben) Lese: http://selfhtml.teamone.de/diverses/htaccess.htm Verweis hierauf: htaccess ,download unterbindung Theorie: User greift auf php script zu, alles ok, mach was du willst mit den bildern. (Standart prozedere) User versucht auf Bilder direkt zu zugreifen, htaccess fängt das ab (in dem zweiten link von mir ist der letzte beitrag ne erklärung), sendet angabe zu der php und die prüft, session ok? Dann nimm dir das bild, session nicht ok, arschtritt, ist n wenig kompleziertes problem __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir! Geändert von Samuel (27-02-2004 um 15:37 Uhr)

27-02-2004, 15:45	#4 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	also die verwaltung der session is erstmal hierfür völlig irrelevant, es geht darum ,dass wenn jemand direkt auf die bild url geht, die session es nich mal merckt, sprich bild bekommen, registriert, nicht nötig. Wenn du n ordner mit /blah/biler hast ,dann ist das unsicher, vor allem, wenn das fency indexing an ist und dir der server sofort und frei ne auflistung der dateien bringt, womit du dir die session prüfung gleich löschen kannst, auf deinem packet kannst du mal einfach ne php datei mit phpinfo(); aufrufen und hier mal verlinken, dann sag ich dir, ob modrewrite an ist. Zur not geht eine standart htaccess protection des ordners. __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir!

27-02-2004, 16:32	#6 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	Wow, der server is toll, unsicher, aber toll Gedulde dich n wenig, ich schreib grad n tut darüber, spätestens morgen wirds fertig sein, ist n wenig schweres thema, aber in meinen vorherigen posts und links steht schon alles, was du brauchst __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir!

27-02-2004, 17:46	#8 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	bin kein server profi, reg globals ist on, s nicht tragisch, aber kann schlecht sein und zuviele module... wer weiß, vielleicht is das schlecht, vielleicht nicht, aber es ist perfekt zum entwickeln __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir!

27-02-2004, 16:22	#5 (permalink)
Basti2003 Neuer User Registriert seit: Oct 2003 Beiträge: 63	http://www.skytec-designs.de/phpinfo.php Das ist die Info-Datei Scheint wohl aktiviert zu sein, oder ? Mit dem Passwort-Schutz werden noch einige Wenige andere Bereiche abgedeckt.... "fency indexing" ist nicht aktiviert D.h. die Lösung aus deinem Thread funktioniert ? Basti

27-02-2004, 18:45	#10 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	Hier is der Link, ob du damit klar kommst, ist ne gute Frage Tutorial: .htaccess Schutz für jegliche Dateien ( für Fortgeschrittene) __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir!

27-02-2004, 19:24	#11 (permalink)
Basti2003 Neuer User Registriert seit: Oct 2003 Beiträge: 63	Ich habs mal ausgedruckt und werd es mir als Abendlektüre vornehmen, Danke

27-02-2004, 22:13	#13 (permalink)
Samuel Affine Abbildung Registriert seit: Feb 2002 Ort: Bremen Beiträge: 15.089	oh, das freut mich, mein erster test __________________ Solange sich auch nur einer an ihn erinnert, solange auch nur ein Herz mit Leidenschaft schlägt - wie kann ein Traum da sterben? If you use the wrong line ending characters when writing your files, you might find that other applications that open those files will "look funny". - PHP.net Hier ruhn meine Gebeine - ich wollt, es wären Deine. Try to look unimportant, they may be low on ammo! Was ist euer Lieblings-Datentyp? Schreibt mir!

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln