Hallo zusammen, auf meiner Homepage habe ich einen internen Bereich mit PHP Sessions und MySQL-Datenbank, bei dem man sich über ein Formular einloggen kann. In diesem Bereich benötige ich jetzt allerdings auch Dateien zum Download. Diese sollen natürlich nicht einfach über eine URL erreichbar sein, sondern geschützt sein. Grundsätzlich habe ich dazu 2 Möglichkeiten gefunden: Verschlüsselung eines Verzeichnisses mit .htaccess und anschließende Übergabe über URL http://user:password@muster.de). Das habe ich dann auch versucht, allerdings hat die Übergabe mit einem Link nicht funktioniert und das sichtbare Passwort in der URL ist auch nicht ganz vorteilhaft... Ablage der Dateien außerhalb des öffentlichen Verzeichnisses und Zugriff über ein Script. Da weiß ich nur nicht so wirklich, wie ich das machen soll... Wenn ich die zweite Möglichkeit hinbekomme, tendiere ich zu dieser. Wisst ihr, wie ich das realisieren könnte oder habt ihr noch eine andere Idee? Danke im Voraus für alle Antworten und ein schönes Wochenende! pst0042

wieso Verschlüsselung? willst du eine Zugangsbeschränkung? das ginge mit Passwort-geschützten Seiten... oder mit kryptographisch sicheren URLs (d. h. man kann diese URLs nicht leicht raten... z. B. http://www0.bla.org/a6JY6929R7CZcg.pdf )... oder willst du die Datei jedem geben und nur die „Eingeweihten“ können dann auch was mit dem Inhalt anfangen? das ginge mit One-Time-Pad...

Zugangsbeschränkung von Download-Dateien auf Webserver?

Hallo zusammen,

auf meiner Homepage habe ich einen internen Bereich mit PHP Sessions und MySQL-Datenbank, bei dem man sich über ein Formular einloggen kann.

In diesem Bereich benötige ich jetzt allerdings auch Dateien zum Download. Diese sollen natürlich nicht einfach über eine URL erreichbar sein, sondern geschützt sein.

Grundsätzlich habe ich dazu 2 Möglichkeiten gefunden:

Verschlüsselung eines Verzeichnisses mit .htaccess und anschließende Übergabe über URL http://user:password@muster.de). Das habe ich dann auch versucht, allerdings hat die Übergabe mit einem Link nicht funktioniert und das sichtbare Passwort in der URL ist auch nicht ganz vorteilhaft...
Ablage der Dateien außerhalb des öffentlichen Verzeichnisses und Zugriff über ein Script. Da weiß ich nur nicht so wirklich, wie ich das machen soll...

Wenn ich die zweite Möglichkeit hinbekomme, tendiere ich zu dieser. Wisst ihr, wie ich das realisieren könnte oder habt ihr noch eine andere Idee?

Danke im Voraus für alle Antworten und ein schönes Wochenende!

pst0042

3 Antworten

Isendrak

28.02.2020, 16:48

Zunächst mal sorge dafür, dass sich die Benutzer einloggen können und du bzw. dein Server die Möglichkeit (z.B. per Session) das "eingeloggt sein" zu verifizieren.

Dann passe folgende Skizze soweit an, dass sie zum bei dir vorhandenen Konzept passt:

<?php
    $files = array(
        'covfefe' => 'nuke_launch_codes.pdf',
        'yes_we_can' => 'obama_secret_plans.doc'
    );
    if(isset($_GET['file'])){
        $fileid = $_GET['file'];
        if(!isset($files[$fileid])){
            header('HTTP/1.0 404 Not Found');
            header('Connection: close');
            exit(0);
        }
        else{
            $file = $files[$fileid];
            header('Content-Type: '+mime_content_type('top_secret_folder/'.$file));
            header('Content-Length: '+filesize('top_secret_folder/'.$file));
            header('Content-Disposition: attachment; filename="'+$file+'"');
            readfile('top_secret_folder/'.$file);
            exit(0);
        }
    }

Beispielanwendung:

Du hast auf deinem Server ein Verzeichnis namens "top_secret_folder", auf das (auf welche Weise auch immer) nicht über HTTP zugegriffen werden kann.

In diesem Verzeichnis befinden sich die zwei Dateien "nuke_launch_codes.pdf" und "obama_secret_plans.doc".

Das obige Skript ist unter http://mirdochegal.de/it-s-magic.php zu erreichen.

Wird nun http://mirdochegal.de/it-s-magic.php?file=covfefe vom (authentifizierten) Browser angefordert, dann erhält dieser die Antwort, dass ihm gleich eine Datei zugestellt wird, die er optimalerweise unter dem Namen "nuke_launch_codes.pdf" in seinem "Downloads"-Ordner abspeichern soll, gefolgt vom Inhalt der Datei.

Aber, wie gesagt, das Skript ist mehr eine Skizze als komplett fertig.

Zu überarbeiten wären da u.a. noch:

Die Authentifizierung (kein Passwort, keine Datei).
Evtl. ein Fallback, falls dem Server zwar die ID bekannt ist, die Datei aber aus welchem Grund auch immer nicht da ist, wo sie sein sollte (im einfachsten Fall ein klassisches 404).
Ggf. eine Datenbankanbindung anstelle eines Arrays (sonst wirds bei vielen Dateien früher oder später "lustig").

RIDDICC

28.02.2020, 16:06

wieso Verschlüsselung?
willst du eine Zugangsbeschränkung? das ginge mit Passwort-geschützten Seiten... oder mit kryptographisch sicheren URLs (d. h. man kann diese URLs nicht leicht raten... z. B. http://www0.bla.org/a6JY6929R7CZcg.pdf )...
oder willst du die Datei jedem geben und nur die „Eingeweihten“ können dann auch was mit dem Inhalt anfangen? das ginge mit One-Time-Pad...

pst0042

Beitragsersteller

28.02.2020, 16:11

Ja ich meine natürlich eine Zugangsbeschränkung. Wie muss ich eine kryptographisch sichere URL erstellen? Reicht da ein Verzeichnis mit willkürlichen Zeichen oder gehört da mehr dazu?

Bei den Passwortgeschützten Seiten könnte ich einfach die Benutzerdaten über die URL weitergeben oder hast du da eine bessere Idee?

EinAlexander

28.02.2020, 16:18

@pst0042

Wie muss ich eine kryptographisch sichere URL erstellen?

Gar nicht. Dieses komplette unsinnige Konzept nennt man "security by obscurity" und funktioniert nicht. Die URL verbreitet sich ruckzuck über refererer oder dgl. und wird dann sogar über Suchmaschinen gefunden.

Bei den Passwortgeschützten Seiten könnte ich einfach die Benutzerdaten über die URL weitergeben

Auf keinen Fall. Auch dann verbreitetn die sich über referer oder dgl.

pst0042

Beitragsersteller

28.02.2020, 16:21

@EinAlexander

Ok und wie soll ich das dann am besten umsetzen?

RIDDICC

28.02.2020, 18:43

@EinAlexander

sicher? der referer Mechanismus setzt doch wohl voraus, dass es Links auf den sicheren Seiten gibt, die auf andere Sites führen... davon war ja gar keine Rede...

RIDDICC

28.02.2020, 18:44

@pst0042

über Cookies könnte man es noch machen...
oder über HTML-Forms, die versteckte Eingabefelder mit einem kryptographisch sicheren Code enthalten, den man nur kriegt, wenn man zuvor eine Rätselaufgabe gelöst hat (Beispiel-Rätsel: „Sage mir dein Passwort.“)...

EinAlexander

28.02.2020, 18:54

@RIDDICC

sicher?

Ja, sicher. "https://de.wikipedia.org/wiki/Security\_through\_obscurity" rel="noopener noreferrer" target="_blank">Security through obscurity" war schon immer ein untaugliches Konzept. Fakt ist, der URL http://www.example.org/a6JY6929R7CZcg.pdf ist nicht geschützt. Wenn ich den in meinen Chrome Browser eintippe, weiß Google Bescheid, dass es diesen URL gibt. Und da der Inhalt nicht geschützt ist, steht er offen im Web.

Je nach Inhalt der Datei kann es zudem dramatische rechtliche Konsequenzen haben, wenn die zu schützenden Dateien ungeschützt im Web stehen: https://www.handelsblatt.com/technik/sicherheit-im-netz/ungesicherte-server-millionen-patientendaten-ungeschuetzt-im-netz-aufgetaucht/25023120.html?nlayer=Themen\_11804704

RIDDICC

28.02.2020, 19:20

@EinAlexander

du meinst durch die Benutzung eines bestimmten Browers (namentlich: Chrome) wird die URL-Verschlüsselung des HTTPS teilweise ausgehebelt?
das wäre ja skandalös und ein Grund es nicht zu verwenden...
„security by obscurity“ ist ja eher, wenn man die Funktionsweise des Verfahrens geheimhalten muss... das ist in meinem Vorschlag aber nicht der Fall... da muss man nur das Geheimnis geheim halten... das Problem hat aber jedes Verfahren...
geschnallt?

EinAlexander

28.02.2020, 19:59

@RIDDICC

du meinst durch die Benutzung eines bestimmten Browers (namentlich: Chrome) wird die URL-Verschlüsselung des HTTPS teilweise ausgehebelt?

Nein. Informier Dich mal über die Funktiion von SSL. Wenn Du einen URL im Browser eingibst, bedeutet das nicht, dass dieser URL nicht "weitergegeben" wird. Woher glaubst du kommen die ganzen mit https: beginnenden URLs im Google-index?

„security by obscurity“ ist ja eher, wenn man die Funktionsweise des Verfahrens geheimhalten muss

Nein. Security through obscurity bedeutet im Kontext von URLs, dass man diese dadurch glaubt geheimhalten zu können, dass man sie "verschlüsselt" durch vermeintlich schwer zu erratende Zeichenfolgen.

RIDDICC

28.02.2020, 20:42

@EinAlexander

du meinst, dass HTTPS die URLs, die an den Server übertragen werden, nicht verschlüsselt?
das, was du über „security by obscurity“ schreibst, ist hoffnungslos falsch...
versuch mal das da durch kleine korrekte Schlusfolgerungen zum Widerspruch zu führen: das Geheimnis ist eben die URL selbst und wenn man es nich geheim hält, weil man n komischen Browser verwendet, dann ist es eben kein Geheimnis mehr, was aber gerade nicht an dem Konzept selbst liegt... versuch mal das zum Widerspruch zu führen...
du solltest auch mal eine konzise Definition des Begiffs „security by obscurity“ aufschreiben... grins

EinAlexander

28.02.2020, 22:06

@RIDDICC

das Geheimnis ist eben die URL

sie ist eben nicht geheim. Welchen Unterschied macht es ob man die Datei datei.pdf oder hduegrfsf.pdf nennt?

RIDDICC

28.02.2020, 23:28

@EinAlexander

manno!
der Unterschied ist, dass die URL so wie ein Passwort schwer zu erraten ist...
„2020-02-28.log“ ist vergleichsweise leicht zu erraten...
deine These, dass jeder WWW-Browser die URLs öffentlich zugänglich macht, ist hoffentlich falsch...
allenfalls Virenscanner leiten URLs weiter an ihre Forschungs-Abteilung... das hatte ich mal mit ner Arztpraxis: immer wenn der Arzt im UK sone kryptographisch sichere URL aufrief, kam derselbe Aufruf nochmal (aber dieses Mal aus Japan)... LOL aber das wäre noch kein Versagen des Systems, weil der Virenscanner ja ohnehin Zugang zu Allem hat...

RIDDICC

29.02.2020, 08:41

@EinAlexander

ach so: wenn ich will, dass eine Seite von der Google/Suche gefunden wird, dann trag ich sie bei Google/Analyze ein... ich warte doch nich, dass jemand zufällig meine neue Seite mit nem Verräter-Browser ansurft... LOL

EinAlexander

29.02.2020, 09:36

@RIDDICC

dann trag ich sie bei Google/Analyze ein

Wohl nicht bei google Analyze sondern eher in der Google Search Console.

Was aber nichts daran ändert dass auch Seiten im Index von Google landen, die nicht via Google Search Console im Index angemeldet wurden, die nicht für die Öffentlichkeit bestimmt sind und bei denen der Seiteninhaber nicht ahnt, dass sie für jedermann öffentlich zugänglich sind. Zum Beispiel diese Seite: http://www.amann-kaffee.at/stats/usage_202002.html

Und die würde natürlich auch dann im google Index stehen, wenn der URL http://www.amann-kaffee.at/tubut/vtbhe_202002.html lauten würde.

RIDDICC

29.02.2020, 09:51

@EinAlexander

öhm!?
wenn du auf dieser Seite einen Link auf deine angeblich „geleakte“ Seite packst, dann findet Google die na klar auch... LOL das ist ja was ganz anderes (keine /robots.txt file...)...
und ich benutz eben Google Analyze... so... LOL einfach immer nur „nein“ sagen, ist Quatsch... woher willst du überhaupt wissen, wie ich sowas mache? ganz schön anmaßend... findest du nich auch?

EinAlexander

29.02.2020, 10:16

@RIDDICC

das ist ja was ganz anderes (keine /robots.txt file...)

Du meinst also, man sollte das Konzept der "geheimen" Adressse dadurch perfektionieren, dass man in der robots.txt angibt, Google möge die Seite http://www.example.org/a6JY6929R7CZcg.pdf bitte nicht indexieren?

Oder wie sonst soll verhindert werden, dass die Seite http://www.example.org/a6JY6929R7CZcg.pdf im Google-Index auftaucht?

RIDDICC

29.02.2020, 10:26

@EinAlexander

LOL nein... da würde ich n ganzes Verzeichnis ausschließen... sonst lädt sich einfach einer die robots.txt runter und hat die ganzen geheimen URLs... immer n bisschen mitdenken, damit es nich so viel Gelaber gibt...

EinAlexander

29.02.2020, 10:53

@RIDDICC

da würde ich n ganzes Verzeichnis ausschließen

Das verhindet aber nicht, dass auf dieses Verzeichnis zugegriffen werden kann und wird und der URL der "geheimen" Datei publiziert wird. Email harvester, Spambots, Malware usw. halten sich nicht an die Angaben der robots.txt

RIDDICC

29.02.2020, 10:59

@EinAlexander

das Verzeichnis kann na klar auch nich gelistet werden... :)
ich verstehe nicht, wie deiner Meinung nach die URL, die ich dir bspw. per eMail schicke, „publiziert“ werden soll..
meinst du jetzt auch noch, dass private eMails ausgewertet und zumindest teilweise veröffentlicht werden?
und Schadsoftware ist na klar immer das Ende der Sicherheitskonzepte... Schadsoftware könnte dir auch irgendeinen Quatsch am Bildschirm vorgaukeln und über das Netzwerk schickt sie was ganz anderes... Bsp.: ne Online Banking Transaktion mit smsTAN... da steht bei einer meiner Banken bloß die Transaktions-Nummer in der SMS (also keine Überweisungs-Details...)... kicher

EinAlexander

29.02.2020, 11:10

@RIDDICC

ich verstehe nicht, wie deiner Meinung nach die URL, die ich dir bspw. per eMail schicke, „publiziert“ werden soll

so wie sie bekannt wird, wenn Du sie mir auf einer Postkarte schickst. Denn eine e-Mail ist nicht sicherer als eine Postkarte. Nur wenn die Mail zum Beispiel mit PGP verschlüsselt wurde, bleibt der Inhalt Dritten auf jeden Fall unbekannt.

meinst du jetzt auch noch, dass private eMails ausgewertet und zumindest teilweise veröffentlicht werden?

Ich meine dass es sicherer ist, den Zugriff auf eine geheime Datei so zu verhindern, dass niemand Unbefugtes darauf zugreifen kann anstatt sie für jeden zugänglich ins Internet zu stellen, ihr einen ungewöhnlichen Namen zu geben und inständig zu hoffen, der "geheime" URL tauche nirgendwo auf.

Wenn Dein Konzept der "geheimen" URLs funktionieren würde, könnten Banken komplett darauf verzichten den Zugriff aufs Konto nur per PIN zu ermöglichen https://kunden.commerzbank.de/lp/login und stattdesen jedem Kunden eine unglaublich geheime URL zuweisen für seine Bankgeschäfte in der Art
https://www.commerzbank/kundenkonto/a6JY6929R7CZcgtfger94_xzZZufg/

Würdest Dir das als "Sicherheit" genügen?

RIDDICC

29.02.2020, 11:15

@EinAlexander

PGP ist nicht erweislich sicher... das kann man höchstens vermuten...
du befürchtest also, dass da irgendetwas bei deinem EmailProvider oder InternetProvider oder WWWBrowser ist, das private Daten (angesurfte URLs, private eMails, ...) im Internet veröffentlcht... stümnt's?
aber: was hindert dieses Etwas daran, noch ganz andere Sachen zu veröffentlichen? z. B. die Passwörter, die du ja im Klartext eintippst.... oder auch Cookies, die Geheimnisse zum Identitäts-Nachweis enthalten...
huh? wassn? LOL

EinAlexander

29.02.2020, 11:34

@RIDDICC

du befürchtest also,

Ich befürchte gar nichts. Ich erkläre nur, dass es nicht sicher ist, eine Datei dadurch vor Zugriff zu schützen, indem man ihr einen ungewöhnlichen Namen gibt und sie dann ohne Zugriffsbeschränkung für jeden verfügbar ins Internet stellt.

Wenn das für Dich ein Sicherzeitskonzept ist, dass ein Facharzt eine Patientenakte ungeschützt unter dem URL http://arztpraxis.tld/asdfoijj2523454hjk0987vkl.pdf ins Internet stellt und dem Kollegen Hausarzt mailt: "Die Ergebnisse der Facharztuntersuchnung für Ernst Müller finden Sie unter dem URL http://arztpraxis.tld/asdfoijj2523454hjk0987vkl.pdf", ist das ja okay.

RIDDICC

29.02.2020, 12:28

@EinAlexander

nö...
du erklärst nix...
warum z. B. sollten nicht auch Inhalte von HTML-Forms, die du weiter unten empfiehlst, irgendwie im öffentlichen Internet geleakt werden können? ist sogar schon mehrfach vorgekommen... sogar bei Yahoo!Mail...
für Patientenakten müsste man na klar n spezielles Betriebssystem und harte Kryptographie verwenden... aber ich habe den Verdacht, dass die Ärzte sich da auf Microsoft und HTTPS und n per Briefpost überlassenes Passwort verlassen...

EinAlexander

Von gutefrage auf Grund seines Wissens auf einem Fachgebiet ausgezeichneter Nutzer

Computer

28.02.2020, 16:15

Verschlüsselung von Download-Dateien auf Webserver?

Hier das Prinzip;


<form method="post">
  <input type="password" name="password" />
  <input type="submit" value="Download" />
</form>

<?php
    $pw = md5($_POST['password']);
    $gueltigesPasswort = md5("geheimesPasswort");
    if($pw == $gueltigesPasswort)
   {
       header("Location: /server/pfad/zur/download/datei.pdf");
   }
?>

Alex

pst0042

Beitragsersteller

28.02.2020, 16:22

Mit einem header() komme ich ja aber auch nicht auf nicht öffentliche Verzeichnisse eines Webservers, oder?

EinAlexander

28.02.2020, 16:28

@pst0042

Dann änder den header eben wie folgt:

header('Content-Type: application/pdf');
header('Content-Disposition: attachment; filename="downloadName.pdf"');
readfile('originalName.pdf');

pst0042

Beitragsersteller

28.02.2020, 16:40

@EinAlexander

Perfekt danke! Jetzt funktioniert es :)

Ähnliche Beiträge

Domainumleitung Strato?

Hallo,

ich versuche seit einer Woche eine Domain INTERN auf ein Verzeichnis weiterzuleiten. Leider hat es über die Umleitungsfunktion in Strato nicht funktioniert, daher habe ich es über die .htaccess-Datei gemacht (mit FileZilla).

Jetzt habe ich in der .htaccess-Datei das hier stehen:

Redirect /index.html http://www.domain.de/verzeichnis

Wenn ich jetzt die Seite aufrufe, hat die Umleitung zwar irgendwie funktioniert aber man sieht in der Domain den Namen des Verzeichnisses, was nicht sein soll. Wie kann ich also die Umleitung machen, ohne das der Name vom Verzeichnis auch angezeigt wird?

Dann habe ich noch das Problem, dass die Seite zwar weitergeleitet wird aber nur die Home-Seite ist "gesichert". Sobald ich auf die anderen Seiten gehe, steht oben wieder "nicht sicher". Wie kann ich das beheben?

Danke im Voraus :)

...zum Beitrag

.html-Endungen via .htaccess entfernen?

Hallo, ich hab mit .htaccess leider so gar keine Erfahrung.

Ich hab eine statische Website auf HTML5-Basis erstellt und möchte nun die Dateiendungen der Unterseiten entfernen. Also mysitede/kontakt.html -> mysitede/kontakt

Probiert habe ich folgendes:

Options -Multiviews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_URI} !(\..{2,4})$
RewriteRule ^([^\/]*)\/([^\/]*)$ $1_$2.html [L,QSA]

Wenn ich nun als URL aber mysitede/kontakt in die HTML-Datei einfüge bekomme ich einen 404-Fehler.

Hab ich etwas übersehen oder einen Schritt ausgelassen? Gehostet ist die Seite bei Hostinger, falls das hilft.

Ich bedanke mich schon mal für die Hilfe!

...zum Beitrag

Webserver URL Dateiname mit HTACCESS verbergen?

Ich möchte, dass die Dateien meiner Website ausschließlich ohne Dateiendung erreichbar sind.

Also soll "<protokoll><servername><verzeichnis><dateiname>" zu"<protokoll><servername><verzeichnis><dateiname>.php|html" umgewandelt werden. Mit "<servername><verzeichnis><dateiname>.php|html" soll man allerdings nicht auf dieentsprechende Datei zugreifen können, da das, soweit ich weiss, von Suchmaschinen als Duplicate Content gewertet werden würde.

Bisher steht in meiner HTACCESS-Datei folgender Code, der allerdings nur ersteres erfüllt:

RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^([^.]+)$ $1.php [NC,L]

...zum Beitrag

Apache2 2.4.10 Verzeichnis schützen mit Passwort...komme nicht weiter :(?

Hey leute,

ich komme hier leider nicht weiter und brauche eure hilfe^^ ich möchte gerne auf meinem Webserver Apache2 2.4.10(Installiert auf einem VServer) einen Verzeichnis mit einem Passwort schützen.

Was ich bisher gemacht habe:

.htpasswd Datei im Root Versichnis mit htpasswd -c .htpasswd titusundtim erstellt :

titusundtim:$apr1$FJOxJsc1$9d.lu9qnwph7ZSWJQqVaD0

.htaccess Datei im /var/www/html/Download Verzeichnis mit nano erstellt:

AuthType Basic AuthUserFile /root/.htpasswd AuthName "Zugriff Verweigert - Bitte Benutzer und Passwort eingeben!" require valid-user

Mir wurde gesagt:

Das ich noch in einer .conf datei in einem Apache2 Verzeichnis etwas ändern soll... Wenn ich dies tuhe und den Server neustarte verschwindet entweder der /Download/ Ordner oder alle Ordner.

Ich habe auch nichts genau gleich aussehendes im Internet gesehen als bei mir ( also bei so einer .conf datei)

Ich denke es liegt daran, dass ich eine neue Version von Apache2 besitze und nicht die alte, jedoch habe ich kein plan wie man diese downgradet.

Nun jetzt frage ich euch ^^.... Danke schonmal im vorraus :).

LG Titus

...zum Beitrag

Htaccess Parameter über URL übergeben?

Ich würde gerne die Username und Password Parameter über die URL übergeben für eine Htaccess Datei. Früher ging das mal mit:

http://username:password@server/folder/

gibt es da heute eine Alternative dazu?

...zum Beitrag

Mit .htaccess Datei bestimmte Dateiendungen sperren?

Hallo!

Ist es möglich mit einer .htaccess Datei auf dem Webserver bestimmte Dateiarten zu sperren, so dass diese nicht mit einem Browser aufgerufen werden können?

Also, z.B. dass alle .mpg Files einfach nicht mehr downloadbar sind?

DANKE!

...zum Beitrag

Wo beginnt der Relative Pfad?

Ich habe in meinem Webserver eine Download Datei angegeben z.B. ../Download/beispiel.zip

Der Webserver findet diese Datei allerdings nicht.

Die Datei ist ein Verzeichnis über dem, wo sich das html befindet im Ordner "Download".

Ich verstehe nicht, von wo aus man den relativen Pfad beginnen soll.

...zum Beitrag

.htaccess login über URL?

hallo ich habe auf meinem webspace eine .htaccess die nur eine einzelne Datei schützt (ein logger Script das eine Datenbank füttert).

<Files log.php>
AuthType Basic
AuthName "bla"
AuthUserFile [blablabla].htpasswd
require valid-user
</Files>

Wenn ich jetzt versuche das Script aufzurufen werde ich nach passwort und benutzer gefragt- so weit so gut. wenn ich allerdings mit

benutzer:password@beispielseite.at/log.php&[parameter]

versuche die seite aufzurufen komme ich trotzdem zur passwortabfrage.

Meine Frage : muss ich das irgendwie speziell erlauben das man sich über die url einloggen darf ? bzw. kann es sein das mein Hoster die funktion deaktiviert (wiso auch immer)

wie könnte ich das scipt alternativ schützen ?

...zum Beitrag

Kann man bei VirusTotal Download Links checken lassen?

Wenn ich bei VirusTotal einen Downloadlink in den URL Scan einfüge, wir dann die Datei, die man downloaden würde geprüft oder nur die URL an sich? (also die Datei an sich wird nicht berücksichtigt)

...zum Beitrag

.htaccess Verzeichnis nur über bestimmte URL erlauben?

Hey Leute,

ich habe auf meinem Pi jetzt nun einen Ordner mit Unterordner:

System:

HTMl Ordner

-Ordner1

-Ordner2

-Unterordner3

ich würde es jetzt gerne so machen in Ordner2 eine .htaccess Datei liegt die abfragt von welcher URL/Domain der Nutzer kommt, und dann halt jeweils den Zuritt gibt/verweigert.

Code:

RewriteEngine On

RewriteCond %{HTTP_REFERER} !^ https://www.domain.de/ordner1/test.php

RewriteRule /* https://www.domain.de/ordner1/fehler.html[R,L]

Also der Code fragt ab ob der Nutzer von der URL: https://www.domain.de/ordner1/test.php kommt und gibt falls es stimmt den Zutritt. Nun zur Frage: In dem Unterordner3 liegen Videos die in dateien in Ordner 2 eingebunden sind. Die Wiedergabe funktioniert aber nicht. Muss ich in Unterordner3 noch eine .htaccess Datei erstellen? Wäre echt nett wenn mir wer eine Antwort dalassen würde. Schonmal vielen Dank im voraus ;D

...zum Beitrag

wie kann man beim starten von Windows eine bestimmte URL aufrufen?

Ich habe eine Webseite bzw. ein PHP-Script auf einem Webserver, das beim Aufrufen (mit Übergabe eines Passwortes) die URL des Routers speichert.

Jetzt muss die URL nur noch beim starten von Windows aufgerufen werden - aber die Seite soll nicht unbedingt in einem Webbrowser angezeigt werden.

Gibt es irgend ein Programm oder eine Möglichkeit, wie man beim starten von Windows oder in einem Intervall von 2 Stunden eine URL aufrufen kann?

...zum Beitrag

Mehrsprachige Webseite(n) in PHP steuern?

Ich besitze Webseiten in verschiedenen Sprachen. Von Code her sind alle gleich (kopiert), sind halt nur übersetzt. Um die Pflege des Codes einfacher zu gestalten möchte ich nun nur noch einen Code (root) benutzen und einfach mit Sprachdateien arbeiten. Bisher habe ich es so gehandhabt, dass ich per htaccess redirect PHP Datein ausgeführt habe.

RewriteRule ^apfel/([^/]*) /page.php [L]

In den kopierten Webseiten in anderen Sprachen habe ich dann einfach die Zeile geändert.

RewriteRule ^apple/([^/]*) /page.php [L]

Um den Code der Webseite einfacher zu pflegen plane ich nun nur noch eine Webseite (ein root) mit Sprachdateien. Jetzt stellt es mir die Frage, wie gehe ich mit den Redirects um?

Ich möchte ungern in eine htaccess datei sämtliche redirects in verschiedenen Sprachen schreiben. Meine plan wäre es jetzt den ganzen traffic auf eine einzige PHP Datei zu schicken und dort überprüfe ich welche domain aufgerufen wurde, lade anhand der die Sprachdatei ($lang["url"]) und überprüfe dann welchen Inhalt bsw. Sprache angezeigt werden soll.

Wie zum Beispiel bei domain.de

if($url == $lang["url"][1]) { 
// domain.de/apfel/
} else if ($url == $lang["url"][2]) { 
// domain.de/birne/
}

Oder bei domain.com

if($url == $lang["url"][1]) { 
// domain.com/apple/
} else if ($url == $lang["url"][2]) { 
// domain.com/pear/
}

Wenn ich nun den ganzen Traffic auf eine PHP Datei schicke ist das dann von der Perfomance nicht so gut da dies eine recht lange Datei werden kann? Falls es noch andere Lösungen geben sollte, höre ich diese gerne. Hoffe man versteht, welches "Problem" ich habe.

...zum Beitrag

MP4 Datei Download lokaler webserver?

Hi,

ich habe einen minimalen Webserver mit Python aufgesetzt und möchte gerne von meinem Handy aus (iPhone) mp4-Dateien von diesem herunterladen.

Ich benutze nur das Dateiverzeichnis, was man sieht, wenn ein Ordner keine index.html Datei besitzt.

Wenn ich versuche, eine mp4-Datei herunterzuladen, wird sie aber im Browser abgespielt, anstatt heruntergeladen zu werden.

Wie kann ich mittels html und JavaScript alle Dateien des Ordners mit den Videos auflisten und Download Links generieren lassen?

...zum Beitrag

PhpMyAdmin nur Localhost?

Hey, ich möchte das mal die PhpMyAdmin Seite nur in localhost erreichen kann. Der Webserver ist auf Apache2 und der auf einem Raspberry pi mit Raspbian. Was ich schonmal sagen kann das bei mir die .htaccess Datei nicht funktioniert.

...zum Beitrag

Was möchtest Du wissen?

Deine Frage stellen