Geschützer Bereich

[Daniel]

Hallo zusammen!

Also mich fasziniert gerade das Thema geschützer Bereich, aber ich möchte jetzt nicht so ganz das Thema im HTML/CSS Forum zuspammen, außerdem geht das was ich möchte in eine klein wenig andere Richtung.

1. Problematik:

Ich habe bereits einen Login- / Passwortgeschützen Bereich der Seite eingerichtet. Innerhalb diesem sehen die User nun einen Link zu einer PDF-Datei und können sich diese herunterladen.

Was jetzt allerdings nicht realisiert ist, aber ich gerne möchte ist der Fall, in dem jemand direkt die URL der PDF-Datei in der Browserzeile eingibt. Das ist nämlich kein Problem für denjenigen, dann trotzdem darauf zuzugreifen. Gibt es irgendeine Möglichkeit das zu verhindern?

2. Problematik:

Nun können User innerhalb diesem geschützen Bereich auch eine PDF-Datei hochladen. Sie selber sehen natürlich nicht in welches Verzeichnis es geladen wird. Aber falls dieses Verzeichnis bekannt ist, kann man natürlich auch wieder direkt auf das PDF zugreifen. Was ich aber auch in diesem Fall unterbinden möchte.

Irgendwelche Ideen wie ich das zu realisieren sein könnte?

Danke und Gruß
Daniel

[Paddy]

http://de.selfhtml.org/servercgi/server/htaccess.htm

Hier is eine kleine Übersicht über htaccess. Ich hoffe das hilft dir.

[Daniel]

Die kenn ich natürlich, aber hilft mir irgendwie nicht bei meiner Problematik.

Du hattest doch im anderen Thread erwähnt, dass man .htaccess und php kombinieren kann, leider finde ich dazu nichts auf der Seite.

[Nissky]

am besten du löst das Problem mit session. Wenn sich jemand einloggt wird die session gestartet. und kann somit auf die URL zugreifen. Wenn dem keine session gestartet wurde, kommt eine Fehlermeldung.
so irgendwie würd ich das ganze angehen.

mfg
Nissky

[Daniel]

Hm, so habe ich ja den geschützen Bereich realisiert, nur wie kann ich das testen, wenn jemand direkt auf ein pdf Dokument zugreifen will? Also sagen wir mal er gibt die URL http://www.xyz.de/pdf/test.pdf direkt in seine Browserleiste ein, dann spuckt er mir ja das Dokument aus, weil das pdf Dokument ja gar nicht auf Sessions prüfen kann, oder hab ich irgendwo einen Denkfehler?

Danke und Gruß
Daniel

[Manuel]

Das Problem hatte ich auch Daniel. Ich habe gelesen, dass wenn eine Session gestartet wurde und die url dann irgendwo gepostet wird, man dann genau mit dieser Session weiter "surfen" kann. Soll heißen du hast dann diesen langen Code an deiner url hängen und wenn jemand den posten kann jemand anderes mit seinem Usernamen da rein.

Oder ist das alles falsch?

[Daniel]

Also nein, so nun auch nicht. Was ich brauche ist ein Sessionschutz für das pdf Dokument. Aber das pdf Dokument selber kann doch keine Sessionvariable überprüfen, das geht doch nur per serverseitigem Script, oder liege ich da jetzt ganz falsch.

In ASP werden die Sessions zwar anders gehandhabt, aber prinzipiell doch irgendwie wieder gleich, nämlich über Sessioncookies. Da frage ich dann im ASP Dokument einfach ab, ob ein entsprechendes Cookie mit meinen Sessionvariablen existiert.

Aber wie kann man das bei einem pdf Dokument lösen bzw. für ein ganzes Verzeichnis mit pdf Dokumenten?

Da dachte ich zuerst an ein per .htaccess geschütztes Verzeichnis, aber ich will ja meinen Usern nicht Zugriff zum ganzen Verzeichnis gewähren, sondern praktisch nur über serverseitiges Script auf eine Datei in diesem Verzeichnis zugreifen bzw. eine Datei in dieses Verzeichnis speichern.

Hoffe, das ist jetzt irgendwie verständlich

Gruß Daniel

[Sonny]

hmm am besten du postest dein Problem mal im php.de Forum.

Hier gibts anscheinend keinen PHP Experten.

[cinpix]

Hier gibts anscheinend keinen PHP Experten.

Och, der Rene schafft das schon...denke ich
Nur isser gerade auf Urlaub!

[Paddy]

http://www.krizleebear.de/phpaccess/dynamisch/index.php?pageID=1
Hatte damals auch lang gesucht, und versucht das selber zu verknüpfen.

Gut das schreiben von usern in die htpasswort is net so schwer das kannst du ja einfach über die file() Funktion in Php hin bekommen. Erst so lange suchen bis du den letzten user gefunden hast. Kannste ja vielleicht daran festmachen wenn die nächste Zeile leer is. und da schreibst du dann den neuen User hin.

Auf der selfhtml Seite steht doch wie ich einzelne Dateien schütze.

Code: Alles auswählen

<Files *.pdf>
require user  Günther Gisela Werner
require group Hippies
</Files>

[Daniel]

http://www.krizleebear.de/phpaccess/dynamisch/index.php?pageID=1
Hatte damals auch lang gesucht, und versucht das selber zu verknüpfen.

Okay, jetzt nur noch was passendes für ASP finden, sollte ja nicht ganz so schwer sein.

Gut das schreiben von usern in die htpasswort is net so schwer das kannst du ja einfach über die file() Funktion in Php hin bekommen. Erst so lange suchen bis du den letzten user gefunden hast. Kannste ja vielleicht daran festmachen wenn die nächste Zeile leer is. und da schreibst du dann den neuen User hin.

Okay, das leuchtet ein.

Auf der selfhtml Seite steht doch wie ich einzelne Dateien schütze.

Code: Alles auswählen

<Files *.pdf>
require user  Günther Gisela Werner
require group Hippies
</Files>

Du verstehst mich noch nicht ganz richtig. Ich will nicht den Nutzern zugriff geben sondern eigentlich nur per serverseitiger Scriptsprache auf das Verzeichnis zugreifen, also z.B. um dort etwas hineinzukopieren.

Ich will es auch meinen Nutzern nicht zumuten, sich nochmals über .htaccess anmelden zu müssen, wenn sie sich schon für einen internen Bereich angemeldet haben. Aber das ist mir gerade weniger wichtig.

Was ich brauche ist ein geschützes Verzeichnis, in den ein ASP Script hochgeladene Dateien speichert, aber niemand von außen direkt Zugriff hat. Und das scheint ja PHPAccess, was Du oben verlinkt hast, zu ermöglichen.