htaccess mit Passwort oder einfach nur -Indexes?

[Zettt]

Hi,


Ich baue gerade an einer neuen Webseite. Die wird auch demnaechst fertig. Gerade laufen die letzten Uploads.

Die Uploads laufen in ein separates Verzeichnis auf dem Server. Das Verzeichnis selbst ist gerade mit

AuthType Basic

geschuetzt. Nach Upload spuckt das Upload Skript die URL aus die kann man dann in einen Blogeintrag einfuegen und ab gehts damit in den Podcast.

Nun tritt aber, fast logischerweise, das Problem auf, dass die Datei nicht heruntergeladen werden kann. (Da die Files ja passwortgeschuetzt sind)
Reicht es nun einfach die Authentication weg zu nehmen und stattdessen -Indexes zu setzen?

Eigentlich haette ich gerne beides. Also es soll nicht jeder drauf zugreifen koennen (nur mit Passwort) und das direkte herunterladen von Dateien soll aber erlaubt sein. Geht das auch oder ist das Bloedsinn, macht man das so nicht?

 

[Bananenbieger]

Wenn Du ein Verzeichnis mit Passwort schützt, dann sind auch alle Dateien darin mit Passwort geschützt

Ich denke mal, Du willst, dass alle User per URL Zugriff auf die Dateien haben, aber das Verzeichnis nicht listen können. Dann reicht es, wenn Du den Directory-Index abschaltest.

 

[quarx]

Dann kann man aber immer noch unbefugt durch geschicktes Raten die Datei laden.
Wie wär's mit einem Download-PHP-Skript, das aus einem geschützten Verzeichnis heraus die fraglichen Dateien weiterreicht (d.h. einen entsprechenden MIME-Header davorklebt und versendet)?

 

[Zettt]

Das wird alles schwierig gehen. Ich hab jetzt mal die Indexes erstmal ausgeschalten. Das wird fuer's erste mal reichen. (Hoffe ich)

Ich benutze ein vorgefertigtes Uploader Skript das ist mir empfohlen worden. Macht auch seinen Job ganz gut. Mehr soll's auch nicht. Also von vorn herein muss alles fuer meine Leute hier einfach sein.

Gerade lese ich, dass es die Option

# DirectoryIndex: sets the file that Apache will serve if a directory is requested.

gibt. Was hat das zu sagen? Heisst das, wenn ich schreibe:

DirectoryIndex dukommsthiernedrein.html

Dann wird jeder der auf das Verzeichnis zugreifen moechte diese Datei praesentiert?

 

[quarx]

Richtig. Aber an die Dateien kommt man trotzdem noch mit einem konkreten URL ran, wenn man deren Namen kennt.

 

[Bananenbieger]

Sorry, ich war total verwirrt. Ich meinte oben das Directory-Listing (mit -indexes).

Du kannst natürlich auch einfach eine index.html in das Verzeichnis legen, damit der Inhalt nicht gelistet wird.

Oder wolltest Du lieber eine Lösung wie von quarx vorgeschlagen?

 

[Zettt]

Richtig. Aber an die Dateien kommt man trotzdem noch mit einem konkreten URL ran, wenn man deren Namen kennt.

Gut das soll man ja auch...hauptsache man kommt sonst nicht mehr ran. Ich will nur nicht, dass mir irgendjemand, irgendwelche Dateien unterjubelt.

Oder wolltest Du lieber eine Lösung wie von quarx vorgeschlagen?

Jein, wie gesagt. Das Script heisst als index.php. Wenn also jemand so schlau ist Podcast als XML einzusehen, wird er auch entdecken wo die Files liegen und kommt vielleicht auch mal auf die Idee index.html einzugeben oder auf bloed auch mal index.php. Beim zweiten haette der Mensch bereits einen Treffer gelandet.

 

[Bananenbieger]

Irgendwie stehe ich heute voll auf dem Schlauch. Also das Upload-Skript, welches Du verwendest, heißt index.php? Dann schütze das doch einfach mit Passwort. PHP bringt dafür einige Funktionen mit: http://de3.php.net/http_auth

 

[pepi]

Den AuthType solltest Du übrigens dringend auf Digest stellen, bei Basic werden die Zugangsdaten nämlich im bösen Klartext übertragen. Bei Digest wird immerhin das Passwort gehashed. Noch besser wäre es allerdings SSL einzusetzen.
Gruß Pepi