htaccess und htpasswd

[derhenry]

Hallo zusammen,
ich habe eine Wordpress-Site und ein Gallery-Tool darauf laufen. Ein paar meiner Alben sollen nur bestimmten Leuten zugänglich sein, also habe ich einen Ordner erstellt, der neben allen schützenwerten Alben (=jeweils 1 Unterordner) auch eine htaccess und eine htpasswd enthält. Die beiden Dateien sind also im gemeinmsamen Oberordner und nicht in jedem Album-Ordner.
Das funktioniert auch einigermaßen, wenn der Nutzer nun ein Album aufrufen möchte. Allerdings wird für jedes Album wieder eine Anmeldung verlangt. Ist das so richtig?
Es gibt beispielsweise eine Übersichtsseite aller geschützten Alben, die durch einen Thumbnail auf die Alben verweist. Da die Thumbnails aus 8 Unterordnern kommen (die selber keine htpasswd und -access haben), muss der Anwender 8 mal das gleiche Kennwort eingeben. Lässt sich das irgendwie verbessern? Versteht man das überhaupt?

Vielen Dank!

Die .htaccess sieht so aus:
AuthName "Familienalbum"
AuthType Basic
AuthUserFile /var/www/web129/html/wp-content/gallery/fam/.htpasswd
require valid-user

 

[Bananenbieger]

Unterstützt das Gallery-Tool keine Passwörter?

 

[derhenry]

Leider tut das NextGen nicht, nein. Und ich hätte auch gerne die Dateien geschützt - in der Regel sind diese per Deeplink ja auch aufrufbar, wenn ein Plugin Passwörter verlangt.

 

[ctrick]

Mhhh.. ich kenne das Plugin jetzt nicht, aber eleganter wäre es doch die Bilder durch eine .php Datei "umzuleiten", die eine Session / Coockie auswertet und nur dann Bilder ausgibt. Dadurch, dass die Bilder im Server-Dateisystem unter einem anderen Namen gespeichert sind, kann auch niemand auf die Dateien direkt zugreifen.

Im Grunde so:
1. Browser fragt www.xyz.de/gallery/img0001.jpg an
2. durch ne .htaccess greift ne PHP ein, die checkt ob der Nutzer berechtigt ist.
3. Entweder holt sich die php dann "gallery/abc-md5-irgendwas.jpg und gibt sie als img0001.jpg aus,
oder sie macht nen Fehler-Bild.

Hab sowas bei mir am laufen, damit der Server checkt, ob Retina-Bilder vorhanden sind und liefert diese ggfls aus.
Hat allerdings nicht direkt mit deinem Anwendungszweck zu tun, sonst würd ich dir da mehr code geben können.

RewriteRule \.(?:jpe?g|gif|png|bmp)$ /retinaimages.php [NC,L]

 

[Bananenbieger]

Hab sowas bei mir am laufen, damit der Server checkt, ob Retina-Bilder vorhanden sind und liefert diese ggfls aus.

Herzlichen Glückwunsch! Du hast den Tagespreis "Worst practice in Web Development" gewonnen. Ob Retina-Bilder benötigt werden, weiß das Endgerät besser als der Server.

 

[ctrick]

Ist zwar nicht Kernthema von dieser Diskussion, aber:
- Wenn nicht von jeder Grafik eine Retina-Version vorhanden ist endet das in unnötigen doppelten Anfragen an den Webserver -> Längere Ladezeiten, viele 404-Errors in den Logfiles die nicht sein müssen.
- Liefere ich grundsätzlich die Retina-Version aus, sofern vorhanden (auf "normalen" Screens dann auf 50% vom Browser skaliert) übertrage ich unnötige Datenmengen an Geräte, die diese Auflösung nicht benötigen. Macht sich grade in nicht-DSL Gebieten und im Handynetz deutlich bemerkbar.

Meine Lösung ist zwar auch nicht der Idealweg, aber schlag mal was besseres vor, (gern per PM), das Bilder nicht doppelt vom Server anfordert und nicht generell hochauflösende Bilder ausliefert.

 

[Bananenbieger]

Hier ein Gist dazu:
https://gist.github.com/marcedwards/3446599

Wenn es sich um Interface-Elemente handelt, packt man das in die generellen CSS-Dateien.

Wenn man bspw. eine Foto-Galerie hat, würde ich das als Inline-CSS im generierten Code vor einen div-Tag platzieren, dem man als Hintergrund das Retina/Non-Retina-Bild zuweist. Alternativ kann man auch img-Tags nutzen, muss dann aber über JavaScript mittels window.devicePixelRatio checken, ob das ein Retina-Device ist und danach dann das src-Attribut des img-Tags entsprechend anpassen.

Die CSS-Variante ist aber vorzuziehen.

Ein Besuch hier könnte sich ebenfalls lohnen: http://dev.billysbilling.com/blog/The-retina-trifecta-CSS-sprites-IMG-tags-and-SVGs-oh-my

 

[drlecter]

Leider tut das NextGen nicht, nein. Und ich hätte auch gerne die Dateien geschützt - in der Regel sind diese per Deeplink ja auch aufrufbar, wenn ein Plugin Passwörter verlangt.

Die normale oder Pro Version? In der normalen Version kann NextGen doch keine Deeplinks oder habe ich das falsch gesehen auf der Webseite?
Wenn du eine umfangreiche Galerie hast, dann könnte die Integration WP/Gallery3 vielleicht interessant sein.

 

[derhenry]

Hallo zusammen,
die Idee von ctrick klingt vielversprechend, aber leider kann ich das mangels Know-how nicht alleine umsetzen. Da bräuchte ich noch weitere Infos - und wäre dafür sehr dankbar!

Ja, ich nutze die Proversion von Nextgen, alleine die Lightbox finde ich sehr gelungen. Was genau die Deeplink-Sache bedeutet weiß ich gar nicht. Bringt mir das was, drlecter? Auf ein anderes Plugin würde ich nur äußerst ungern wechseln, da ich nun für Nextgen gezahlt habe, die Lightbox schön ist und ich eine gute Integration zu Lightroom gefunden habe.

Vielen Dank für Eure Hilfe!

 

[drlecter]

Also, bei der Pro Version kann man Bilder per DeepLink freigeben (genau das was du nichts willst). Ich habe mir das Modul selber noch nicht angeschaut, aber eine Benutzersperre usw. müsste möglich sein.

 

[derhenry]

Für mich ist ein Deeplink ein direkter Link zur Datei. Wüsste nicht, was da jetzt bei der Pro-Version anders sein soll. Auch vorher konnte ich, wenn ich den Pfad zur Datei kannte direkt darauf zugreifen, oder?!
was bringt mir das jetzt hinsichtlich einer Benutzersperre?

 

[drlecter]

Also, ein gutes Gallery Modul sollte sowas unterbinden können (wenn man eine Benutzerverwaltung hat). Ich sagte ja, ich kenn das nicht Modul nicht so direkt.

 

[hillepille]

Hi, normalerweise brauchst du nur einmal dein Passwort eingeben. Kommen die Bilder ggf. von einer Subdomain, oder rufst du z.b. die Loginseite mit www.xyz.de auf und die Bilder dann mit xyz.de ohne www? Das wären Möglichkeiten warum du dein PWD mehrfach eingeben musst. Wenn du eine PWD-Abfrage auf www.xyz.de legst, gilt das auch nur für www.xyz.de, wobei das www in dem Fall die Subdomain darstellt. Bei jeder Veränderung der Domainadresse fasst der PWD-Schutz wieder erneut.