Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: cms2day Forum - Community & Support rund ums cms2day. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

Samstag, 8. März 2014, 17:16

Download Modul mit Passwort Schutz

Hi,

Hab da mal ne Frage zum Download Modul. Ich habe dieses Modul mit Passwort versehen. Klickt man nun darauf im Frontend kommt die Passwort Abfrage. Soweit so gut.

Jedoch, wenn ich den Link zum File direkt eingebe, kann ich es nach wie vor auch ohne Passwort einzugeben downloaden.

Wo liegt mein Fehler? Das kann so ja nicht sein...

Lg,
Maxx

Werbung

djknuffel

Moderator

  • »djknuffel« ist männlich

Beiträge: 711

CMS Version: 4.0.1

Wohnort: Frankfurt a.M.

Paypal:

  • Nachricht senden

2

Samstag, 8. März 2014, 17:44

das ist kein fehler vom modul(mit dem passwort schützt du nur den zugriff auf das modul nicht die datei) oder dir das ist normal so, technische Sache des Internets etc. ^^

du könntest da abhilfe schaffen indem du das verzeichnis wo die files direkt liegen mit einer htaccess datei sicherst, so kann man ggf. zwar die übersicht im downloadmodul sehen aber an die files direkt kommt man nicht direkt heran wegen der abfrage via htaccess datei.
akrell.de - Informationen zu meinen Modulen für das cms2day System und meine Arbeiten als Hobbyfotograf

Werbung

3

Samstag, 8. März 2014, 21:51

An die htaccess habe ich schon gedacht. Nur keine Ahnung wie die genau funktioniert.
Mit dieser kann ich also den direkten Zugriff über die Adresszeile sperren, jedoch für das Download Modul offen lassen?
Wie geht das? Ist doch die gleiche Anforderung für den Server, oder?

Intressant diese Linux Welt :)

/Maxx

Werbung

djknuffel

Moderator

  • »djknuffel« ist männlich

Beiträge: 711

CMS Version: 4.0.1

Wohnort: Frankfurt a.M.

Paypal:

  • Nachricht senden

4

Samstag, 8. März 2014, 23:14

Gute Dokumentation dazu findest hier:
http://de.selfhtml.org/servercgi/server/…rzeichnisschutz
Das Modul ansich bleibt offen für jeden oder du kannst es weiterhin mit dem Passwortschutz versehen der integriert ist wie bisher. Die Dateien auf welche Du verlinkst im Modul solltest dann in ein extra Verzeichnis packen und dieses schützt du dann mit Hife einer .htaccess Datei wie im Link beschrieben, man würde also auf dein download modul kommen und müsste ggf. da schon ein passwort verwenden dann klickt man auf den download link und muss nochmal ein passwort eingeben und ggf. ein benutzernamen ...

... ABER ACHTUNG
mit falschen Einstellungen in der .htaccess kannst du den ganzen Webauftritt ggf. blockieren sprich selber nicht mehr zugreifen, also lieber erstmal irgendwo lokal testen bevor du da was online stellst :)
akrell.de - Informationen zu meinen Modulen für das cms2day System und meine Arbeiten als Hobbyfotograf

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »djknuffel« (8. März 2014, 23:19)


Werbung

5

Samstag, 8. März 2014, 23:56

Sozusagen bringt es eigentlich gar nichts, daß Download Modul mit dem CMS Passwortschutz zu versehen, da man damit nur die Seite sichert aber überhaupt kein File am Server. Wenn ich also den Passwortschutz einschalte muß ich einfach 2 Passwörter eingeben. Zuerst eines um das Download Modul anzuzeigen und dann nochmal um das File im Folder (mit zb Basic Auth) freizuschalten.

Ist das soweit richtig?
Der Interne Bereich den man bei diesem CMS hat ist quasi nur für Seiten die man schreibt gedacht.

Ich müsste einen Bereich absichern mit:
Kontakten, vielen Downloads und Links.

Oh Mann...

Werbung

djknuffel

Moderator

  • »djknuffel« ist männlich

Beiträge: 711

CMS Version: 4.0.1

Wohnort: Frankfurt a.M.

Paypal:

  • Nachricht senden

6

Sonntag, 9. März 2014, 01:57

Der integrierte Passwortschutz war nie dafür ausgelegt um Dateien für Downloads zu schützen etc. sondern nur um ggf. den Zugriff auf ein Modul oder selbsterstellte Seite zu unterbinden. Wenn dir die .htaccess Angelegenheit zu aufwendig ist dann kannst ja ggf. die Dateien alle mit einem Packprogramm packen und da ein Passwort für vergeben zum auspacken, dann brauchst nur noch den Schutz für das Modul und kannst dort das passende Passwort mit angeben.
akrell.de - Informationen zu meinen Modulen für das cms2day System und meine Arbeiten als Hobbyfotograf

Werbung

7

Sonntag, 9. März 2014, 10:27

Zu aufwendig nicht. Ich hatte nur gehofft daß man sich eben auf der Homepage einloggt und dann ein paar Dateien runterladen kann.
Bisher hatten wir ne Joomla Page, bei dieser ist der interner Bereich komplett getrennt. Wenn man dort ein File downloaded wird nicht der physikalische Link preisgegeben. Habe mittlerweile sogar die 70 Accounts vom Joomla auf cms2Day übernommen, damit sich jeder mit seinem alten Login einloggen kann. Jedoch hilft das jetzt so nicht viel.

Kann Ich die htaccess so schreiben, daß sie auf ne mysql Tabelle guckt?
Kann man das hässliche standard popup Login Fenster von dieser Basic Auth irgendwie auf der Seite einbetten?

Falls wer mal gucken möchte:
Alte Page: http://www.lokf.at
Neue Page: http://cms.lokf.at

Neue natürlich noch work in progress...

Werbung

8

Sonntag, 9. März 2014, 11:10

Wäre so eine Lösung machbar?...

PHP-Quelltext

1
2
3
4
5
6
7
8
9
10
11
session_start();
if(!eingelogged) { 
    header("location: login.php"); 
    exit; 
} 

header('Content-disposition: attachment;');
header('Content-Type: text/plain');
$filename "./geschuetztes_verzeichnis/dateiname";
$content file_get_contents($filename);
echo $content;

Werbung

djknuffel

Moderator

  • »djknuffel« ist männlich

Beiträge: 711

CMS Version: 4.0.1

Wohnort: Frankfurt a.M.

Paypal:

  • Nachricht senden

9

Sonntag, 9. März 2014, 18:11

.htaccess ist eine normale text datei und keine php datei wo man sowas machen könnte.

Das CMS hatte nie ein internes System wie das Joomla CMS, das was man als "internes" kennt ist eigentlich das Backend für die Verwaltung des cms2day. Eine Mitgliederverwaltung bzw. Mitgliederbereich müsste man als Modul integrieren und darauf aufbauend dann ein Downloadmodul etc. um Sachen nur für angemeldete User zugänglich zu machen.
akrell.de - Informationen zu meinen Modulen für das cms2day System und meine Arbeiten als Hobbyfotograf

Werbung

10

Sonntag, 9. März 2014, 23:48

Ich glaube ich hab nun endlich (nach nem Tag Suche) was gefunden was funktionieren könnte.
Über .htaccess wird der direkte Zugriff gesperrt. Anschließend streamt man mit einem PHP File den Download zum Clienten.
Falls der User nicht eingeloggt ist, gibt es auch keinen Stream.

http://www.tutorialchip.com/php-download…ab-installation

/Maxx

Werbung

Ähnliche Themen