Download direkt von Uploads + Unterordner

[privatling]

Hallo,

warum ist eigentlich der direkte Download aus den Upload-Ordnern möglich, wenn man sich die Quelle der Dateien im Quelltext anschaut?

Rechte Ordner sind 755, Rechte Dateien 644, Contenido neuste Version.

Danke im Voraus...


Gruß Thomas

[Oldperl]

Servus Thomas,

Zuerst einmal willkommen im Contenido-Forum.

...wenn man sich die Quelle der Dateien im Quelltext anschaut?

Wenn man was?

Rechte Ordner sind 755, Rechte Dateien 644

Das sind Zugriffsrechte (Lesen/Schreiben) auf dem Server/System, die haben erst mal nichts mit den Zugriffsrechten per HTTP zu tun.
Dafür zuständig ist in der Regel der Webserver, welcher die Dateien bereit stellt. Dieser kann selbst, je nach Konfiguration über benannte Dateirechte, keinen Zugriff auf die Dateien bekommen, hat er diesen jedoch, so stellt er sie auch zum Download (zur Anzeige) bereit.
Diese Bereitstellung kann man, sofern das in der Serverkonfiguration erlaubt ist, per .htaccess dediziert erlauben oder verbieten. Hierzu möchte ich Dich auf das entsprechende Kapitel im SELFHTML-Wiki verweisen https://wiki.selfhtml.org/wiki/Webserver/htaccess

Gruß aus Franken

Ortwin

[rethus]

Relativ einfach ausgedrückt ist der Browser ein "Download-Programm". Das bedeutet, das alles was du dir ansiehst, und was im Browser dargestellt wird auch abgreifbar ist.
Wenn es dir darum geht, das Dateien, die du zum Download anbietest nicht einfach als Link kopier- und abrufbar sein sollen, musst du den Dateidownload mit einem Wrapper-Script schützen.

Vereinfacht ausgedrückt würdest du in dem Fall ein PHP-Script ansprechen, welches die Datei intern holt, und direkt als download-Link an den Browser weitergibt (also öffnet sich der Speicherdialog vom Browser).
Da kann man dann Sicherheiten einbauen, dass ein Link nur einmal abrufbar ist usw....
Da ich nicht weiß, ob es dir darum geht, geh ich hier nicht weiter ins Detail. Es sei nur soviel gesagt, das man in d.R. für normale Pages und deren Files so einen Overhead nicht benötigt.
Schau einfach, das in deinem Webserver "DirectoryListing" deaktiviert ist, und den Rest regelst du wie von Oldperl empfohlen via htaccess.

[privatling]

Danke für die hilfreichen Antworten, werde ich mir mal anschauen.

Noch etwas:
Nach Update von 4.9.x auf die neuste Version bekomme ich im Backend vor dem Login immer einen grauen Balken oben überlagert angezeigt:

Backend.JPG

Balken im Backend

(24.65 KiB) Noch nie heruntergeladen

Nach dem Login verschwindet dieser, jemand eine Idee? Früher war das nicht so.

[homtata]

Hm. Schonmal alle Caches im Browser und in Contenido geleert?

[privatling]

Hm. Schonmal alle Caches im Browser und in Contenido geleert?

Ja habe ich natürlich, bei einer Neuinstalltion habe ich diesen auch. Firefox wie IE.

[privatling]

Das sind Zugriffsrechte (Lesen/Schreiben) auf dem Server/System, die haben erst mal nichts mit den Zugriffsrechten per HTTP zu tun.
Dafür zuständig ist in der Regel der Webserver, welcher die Dateien bereit stellt. Dieser kann selbst, je nach Konfiguration über benannte Dateirechte, keinen Zugriff auf die Dateien bekommen, hat er diesen jedoch, so stellt er sie auch zum Download (zur Anzeige) bereit.
Diese Bereitstellung kann man, sofern das in der Serverkonfiguration erlaubt ist, per .htaccess dediziert erlauben oder verbieten. Hierzu möchte ich Dich auf das entsprechende Kapitel im SELFHTML-Wiki verweisen https://wiki.selfhtml.org/wiki/Webserver/htaccess

Gruß aus Franken

Ortwin

Hallo Ortwin,

funktioniert mit .htaccess nicht, da dann die Webseite auch keinen Zugriff mehr hat.

Gruß Thomas

[Oldperl]

Hallo Thomas,

funktioniert mit .htaccess nicht, da dann die Webseite auch keinen Zugriff mehr hat.

Das funktioniert auch per htaccess, denn damit kann ich beispielsweise auch URLs umschreiben. Aber für Jemand der sich da noch nicht wirklich auskennt ist sicherlich eine Lösung per Wrapper-Script, wie von rethus angesprochen, in Kombination mit der .htaccess, die den direkten Zugriff blockt, die einfachere Lösung. In 4.9 kann man das auch alternativ mit dem Plugin "URL Shortener" umsetzen.

Gruß aus Franken

Ortwin

[privatling]

In 4.9 kann man das auch alternativ mit dem Plugin "URL Shortener" umsetzen.

Gruß aus Franken

Ortwin

Hallo Ortwin,

wenn ich das Plugin aktiviere, bekomme ich die Meldung: .htaccess nicht gefunden. Bitte kopieren Sie...
Die .htaccess ist aber aufgrund des AMR vorhanden und es funktioniert alles einwandfrei.

Aber aufgrund 1000 Kategorien und über 2000 Artikeln ist das eine mühselige Arbeit.

Zum Hintergund, was ich vermeiden möchte:
In dem Portal gibt es Videos zum Ansehen. Allerdings muss man einen Betrag X für eine bestimmte Laufzeit bezahlen und kann sich dann dafür einloggen.
Nun haben die eingeloggten Mitglieder ja die Möglichkeit, sich die Quelle der Videos im Seitenquelltext anzusehen und die Dateien downzuloaden. Das soll verhindert werden.

Mfg Thomas

[Oldperl]

Hallo Thomas,

In dem Portal gibt es Videos zum Ansehen. Allerdings muss man einen Betrag X für eine bestimmte Laufzeit bezahlen und kann sich dann dafür einloggen.
Nun haben die eingeloggten Mitglieder ja die Möglichkeit, sich die Quelle der Videos im Seitenquelltext anzusehen und die Dateien downzuloaden. Das soll verhindert werden.

Das geht mit keiner der hier angesprochenen Möglichkeiten. Das geht ausschließlich mit einem Stream-Server der die URL nur temporär erzeugt und damit die originale URL nicht nach außen weiter gibt.
Eine entsprechende Lösung für Contenido ist mir da aber nicht bekannt.

Gruß aus Franken

Ortwin

[Faar]

In dem Portal gibt es Videos zum Ansehen. Allerdings muss man einen Betrag X für eine bestimmte Laufzeit bezahlen und kann sich dann dafür einloggen.
Nun haben die eingeloggten Mitglieder ja die Möglichkeit, sich die Quelle der Videos im Seitenquelltext anzusehen und die Dateien downzuloaden. Das soll verhindert werden.

In einem Webshop wurde das technisch so gelöst, dass der Download an ein Cookie gebunden ist und die Quell-Verzeichnisse der Dateien mittels .htaccess gegen außen hin abgesperrt sind.

Code: Alles auswählen

Order deny,allow
Deny from all

Das Programm holt sich als privilegierter User auf dem Server die Datei, wenn der Kunde einen verschlüsselten Link angeklickt hat.
Der verschlüsselte Link ist nur an diesen einen Kunden mit dem Cookie auf seinem PC-Browser-Kombinat geknüpft, so dass ein anderer mit diesem Link nichts anfangen könnte.
Als Alternative wird auch die IP als Verknüpfung angeboten.
Das schöne an der Sache ist, dadurch kann man auch die Zeit einschränken (z.b. 3 Tage), in der man Downloaden könnte und die Menge an Downloads (z.B. 3 mal).
Man muss ja immer berücksichtigen, dass Downloads auch mal schief laufen können und der Kunde hat ja ein Anrecht darauf.
Der Link und die Kundenbeziehung mit allen Parametern wird natürlich in der DB gespeichert.

Wichtig in der Anordnung ist dann auch, dass man den Kunden per Email einen neuen Link zusenden kann, der wieder gültig ist oder auch manuell einen Link freigeben kann oder sperren.
Sonst könnte im Fall, dass etwas schief lief, Kundenbeschwerden hageln, denn bezahlt ist bezahlt.

Natürlich ist es immer vorteilhafter, wenn man dem Kunden ein individuelles Login bieten kann, womit der Kunde auf seine Daten und Downloads Zugriff hat.
Da lässt sich noch viel mehr über ein Kundenkonto steuern, auch Aktivitätskontrolle, Bonus und manches mehr.
Und da greift natürlich der Datenschutz und sagt, die persönlichen Daten müssen geschützt sein.

[Oldperl]

Ähm Frank, er möchte wohl auch die Wiedergabe zeitlich begrenzen, und das ist mit deiner Lösung nicht möglich. Da geht nur Streamen.

Gruß aus Franken

Ortwin

[rethus]

Bin daccord mit Oldperl... keine Chance, ohne Streaming!

Wie oben bereits erwähnt ist der Browser 'nur' ein "Downloader "...
Wenn du also die medialen Daten nicht wie von Oldperl vorgeschlagen per Stream zur Verfügung stellst, hast du keine Handhabe zu beeinflussen wie lange ein Video wiedergegeben wird.
Warum? Weil die Inhalte vor der Wiedergabe runtergeladen werden.

Nur der Vollständigkeit geschuldet: Streamst du einen Inhalt, behandelt nicht mehr der Browser, sondern ein Plugin auf eigenem Port den Datenstream.

[Faar]

Ich hatte mich von dem anfänglichen Download beirren lassen. Ich dachte, es geht darum, dass sich kein Download-Link verteilen lässt.
Aber klar, wenn die Datei erst gar nicht "downgeloaded" werden können soll, ist nur Streaming möglich.
Man braucht im Zweifel dann einen eigenen Internet-Server mit passender Software https://de.wikipedia.org/wiki/Ampache
oder als kleinere Lösung einen Hoster der speziell auch Streaming anbietet.

Amazon Web Services (AWS) zum Beispiel: https://aws.amazon.com/de/cloudfront/streaming/
Ich habe mit Streaming bei Amazon noch keine Erfahrungen gemacht, lediglich mit dem Hosten von großen Datenmengen auf S3.
Das wiederum ist zwar recht günstig aber der Einstieg ist nicht immer einfach und zudem muss man sich eine App (Modul) für die S3-Schnittstelle programmieren.
Man kann sich scheints Webseiten auf Amazon erstellen aber ich finde eine eigene Webseite besser und dann mit Schnittstellen-Anbindung.
https://aws.amazon.com/de/php/
https://aws.amazon.com/de/documentation/gettingstarted/