Attachments Sicherheit
Moderator: Thorsten
Attachments Sicherheit
Mir ist aufgefallen, dass wenn ich die Downloadurl einer Datei kenne, (z.B. faq/index.php?action=attachment&id=11), dann kann ich problemlos diese Datei herunterladen, auch wenn ich keine Berechtigung für diesen Eintrag habe. Zudem kann ich eine andere Zahl am Schluss der URL eingeben und somit andere Dateien herunterladen.
Gibt es eine Möglichkeit, diese Lücke zu schliessen?
Vielen Dank
thomas
Gibt es eine Möglichkeit, diese Lücke zu schliessen?
Vielen Dank
thomas
Re: Attachments Sicherheit
Guten Tag,
wollte einmal nachfragen, ob jemand diesbezüglich etwas weiss?
Vielen Dank für eine Antwort
thomas
wollte einmal nachfragen, ob jemand diesbezüglich etwas weiss?
Vielen Dank für eine Antwort
thomas
Re: Attachments Sicherheit
Wenn ich die standard Seiten von phpMyFAQ nehme habe ich auch das Problem.
Allerdings haben wir eine Erweiterung (die ich Thorsten geschickt habe), die eine Loginseite (ähnlich dem backend) vor das eigentliche frontend geschaltet ist. Mit dieser Änderung können attachments ohne gültige session nicht mehr geladen werden.
@Thorsten, kannst Du zeitlich unsere login Seite eingebauen?
LG Jochen
Allerdings haben wir eine Erweiterung (die ich Thorsten geschickt habe), die eine Loginseite (ähnlich dem backend) vor das eigentliche frontend geschaltet ist. Mit dieser Änderung können attachments ohne gültige session nicht mehr geladen werden.
@Thorsten, kannst Du zeitlich unsere login Seite eingebauen?
LG Jochen
Our public FAQ is proudly powered by phpMyFAQ: http://vhtfaq.ge51.honeywell.de/
Re: Attachments Sicherheit
Hi,
ihr könnt auch Attachments in der Version 2.7 verschlüsseln.
@Jochen:
Ja, Code angesehen, ich baue das demnächst ein, das ist ja relativ übersichtlich.
bye
Thorsten
ihr könnt auch Attachments in der Version 2.7 verschlüsseln.
@Jochen:
Ja, Code angesehen, ich baue das demnächst ein, das ist ja relativ übersichtlich.
bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
Hallo,
Wie geht das mit dem Verschlüsseln? Und ist die 2.7 nicht noch in der Betaphase?
Danke,
thomas
Wie geht das mit dem Verschlüsseln? Und ist die 2.7 nicht noch in der Betaphase?
Danke,
thomas
Re: Attachments Sicherheit
Hi,
ja, die 2.7 ist noch ne Beta, die zweite erscheint in Kürze. Beim Verschlüsseln werden die Attachments über ein Passwort verschlüsselt.
bye
Thorsten
ja, die 2.7 ist noch ne Beta, die zweite erscheint in Kürze. Beim Verschlüsseln werden die Attachments über ein Passwort verschlüsselt.
bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
Guten Tag
Inzwischen habe ich die neuste Version heruntergeladen 2.7 RC1. Dabei habe ich verschiedene Test betreffend Attachments gemacht. Das Ergebnis sieht wie folgt aus:
Sobald mir die Downloadadresse bekannt ist, kann ich Attachments herunterladen...muss einfach nur die Zahl am Schluss abändern (index.php?action=attachment&id=3)
Dieser Download der Attachment funktioniert auch dann, wenn ich die ganze FAQ Passwortgeschützt habe und wenn ich die Attachments verschlüssle.
Gibt es eine Möglichkeit dies zu verhindern. Gerne würde ich es so haben, dass nur der Benutzer, der das Recht hat die betreffende FAQ zu betrachten das entsprechende Attachment herunterladen kann....und niemand anders.
Vielen Dank
Gruss
thomas
Inzwischen habe ich die neuste Version heruntergeladen 2.7 RC1. Dabei habe ich verschiedene Test betreffend Attachments gemacht. Das Ergebnis sieht wie folgt aus:
Sobald mir die Downloadadresse bekannt ist, kann ich Attachments herunterladen...muss einfach nur die Zahl am Schluss abändern (index.php?action=attachment&id=3)
Dieser Download der Attachment funktioniert auch dann, wenn ich die ganze FAQ Passwortgeschützt habe und wenn ich die Attachments verschlüssle.
Gibt es eine Möglichkeit dies zu verhindern. Gerne würde ich es so haben, dass nur der Benutzer, der das Recht hat die betreffende FAQ zu betrachten das entsprechende Attachment herunterladen kann....und niemand anders.
Vielen Dank
Gruss
thomas
Re: Attachments Sicherheit
Hi,
ja, das sollte gehen, im Code steht auch als Todo, dass der Check fehlt.
bye
Thorsten
ja, das sollte gehen, im Code steht auch als Todo, dass der Check fehlt.
bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
Super, vielen herzlichen Dank.
Funktioniert der Code nur bei der 2.7 er Version oder auch schon bei der 1.6.16?
thomas
Funktioniert der Code nur bei der 2.7 er Version oder auch schon bei der 1.6.16?
thomas
Re: Attachments Sicherheit
Hi,
der sollte auch bei der 2.6 funktionieren, da wurde in der 2.7 nix geändert.
bye
Thorsten
der sollte auch bei der 2.6 funktionieren, da wurde in der 2.7 nix geändert.
bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
Guten Tag
Habe nun alle Einstellungen vorgenommen. Bei den registrierten User funktioniert es tadellos. Die öffentliche Dokumente kann man jetzt aber nicht mehr herunterladen. Klickt man auf einen Downloadlink, dann erscheint eine weisse Seite.
Gruss
tas
PS Leider kann ich aus der Schweiz kein Produkt der Amazonwunschliste einkaufen - das deutsche Amazon liebt die Schweizer nicht...
Habe nun alle Einstellungen vorgenommen. Bei den registrierten User funktioniert es tadellos. Die öffentliche Dokumente kann man jetzt aber nicht mehr herunterladen. Klickt man auf einen Downloadlink, dann erscheint eine weisse Seite.
Gruss
tas
PS Leider kann ich aus der Schweiz kein Produkt der Amazonwunschliste einkaufen - das deutsche Amazon liebt die Schweizer nicht...
Re: Attachments Sicherheit
Hi,
dann guck ich nochmal... hast du einen Eintrag im Errorlog?
bye
Thorsten
dann guck ich nochmal... hast du einen Eintrag im Errorlog?
bye
Thorsten
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist
Re: Attachments Sicherheit
Hallo
Nein dort ist nichts.
Gruss
thomas
Nein dort ist nichts.
Gruss
thomas
Re: Attachments Sicherheit
Hi,
welches Permissionlevel nutzt du? Basic oder Medium?
bye
Thorsten
P.S.: das mit amazon.de passt schon Trotzdem Danke!
welches Permissionlevel nutzt du? Basic oder Medium?
bye
Thorsten
P.S.: das mit amazon.de passt schon Trotzdem Danke!
phpMyFAQ Maintainer and Lead Developer
amazon.de Wishlist
amazon.de Wishlist