Attachments Sicherheit

[tas]

Mir ist aufgefallen, dass wenn ich die Downloadurl einer Datei kenne, (z.B. faq/index.php?action=attachment&id=11), dann kann ich problemlos diese Datei herunterladen, auch wenn ich keine Berechtigung für diesen Eintrag habe. Zudem kann ich eine andere Zahl am Schluss der URL eingeben und somit andere Dateien herunterladen.
Gibt es eine Möglichkeit, diese Lücke zu schliessen?

Vielen Dank

thomas

[tas]

Guten Tag,

wollte einmal nachfragen, ob jemand diesbezüglich etwas weiss?

Vielen Dank für eine Antwort

thomas

[JochenS]

Wenn ich die standard Seiten von phpMyFAQ nehme habe ich auch das Problem.

Allerdings haben wir eine Erweiterung (die ich Thorsten geschickt habe), die eine Loginseite (ähnlich dem backend) vor das eigentliche frontend geschaltet ist. Mit dieser Änderung können attachments ohne gültige session nicht mehr geladen werden.

@Thorsten, kannst Du zeitlich unsere login Seite eingebauen?

LG Jochen

[Thorsten]

Hi,

ihr könnt auch Attachments in der Version 2.7 verschlüsseln.

@Jochen:
Ja, Code angesehen, ich baue das demnächst ein, das ist ja relativ übersichtlich.

bye
Thorsten

[tas]

Hallo,

Wie geht das mit dem Verschlüsseln? Und ist die 2.7 nicht noch in der Betaphase?

Danke,

thomas

[Thorsten]

Hi,

ja, die 2.7 ist noch ne Beta, die zweite erscheint in Kürze. Beim Verschlüsseln werden die Attachments über ein Passwort verschlüsselt.

bye
Thorsten

[tas]

Guten Tag

Inzwischen habe ich die neuste Version heruntergeladen 2.7 RC1. Dabei habe ich verschiedene Test betreffend Attachments gemacht. Das Ergebnis sieht wie folgt aus:

Sobald mir die Downloadadresse bekannt ist, kann ich Attachments herunterladen...muss einfach nur die Zahl am Schluss abändern (index.php?action=attachment&id=3)

Dieser Download der Attachment funktioniert auch dann, wenn ich die ganze FAQ Passwortgeschützt habe und wenn ich die Attachments verschlüssle.

Gibt es eine Möglichkeit dies zu verhindern. Gerne würde ich es so haben, dass nur der Benutzer, der das Recht hat die betreffende FAQ zu betrachten das entsprechende Attachment herunterladen kann....und niemand anders.

Vielen Dank

Gruss

thomas

[Thorsten]

Hi,

ja, das sollte gehen, im Code steht auch als Todo, dass der Check fehlt.

bye
Thorsten

[Thorsten]

Hi,

hier ist der Fix: https://github.com/thorsten/phpMyFAQ/co ... 8ccd9bade8

bye
Thorsten

[tas]

Super, vielen herzlichen Dank.

Funktioniert der Code nur bei der 2.7 er Version oder auch schon bei der 1.6.16?

thomas

[Thorsten]

Hi,

der sollte auch bei der 2.6 funktionieren, da wurde in der 2.7 nix geändert.

bye
Thorsten

[tas]

Guten Tag

Habe nun alle Einstellungen vorgenommen. Bei den registrierten User funktioniert es tadellos. Die öffentliche Dokumente kann man jetzt aber nicht mehr herunterladen. Klickt man auf einen Downloadlink, dann erscheint eine weisse Seite.

Gruss

tas

PS Leider kann ich aus der Schweiz kein Produkt der Amazonwunschliste einkaufen - das deutsche Amazon liebt die Schweizer nicht...

[Thorsten]

Hi,

dann guck ich nochmal... hast du einen Eintrag im Errorlog?

bye
Thorsten

[tas]

Hallo

Nein dort ist nichts.

Gruss

thomas

[Thorsten]

Hi,

welches Permissionlevel nutzt du? Basic oder Medium?

bye
Thorsten

P.S.: das mit amazon.de passt schon Trotzdem Danke!