technoforum.de: wie sperrt man dateien auf web-site vor direkter einsicht?

This is topic wie sperrt man dateien auf web-site vor direkter einsicht? in forum Produktions- & DJ-Technik, Hard- & Software at technoforum.de.

Um den Thread anzusehen, klicke auf diesen Link:
https://forum.technoforum.de/cgi-bin/ultimatebb.cgi?ubb=get_topic;f=6;t=005271

Geschrieben von: Xeno (Usernummer # 9115) an :

hallo,

vielleicht kann mir einer von euch helfen -
und zwar ist es soviel ich weiss doch möglich, z. b. eine bilddatei die ich auf meinem webspace ablege gegen einen web-scan bzw. einsicht zu sichern, oder?

ich will praktisch ein verzeichnis gegen einen file-scann sichern.

wie kann man das machen, dass ein fremder nicht den ganzen webspace scannt und dann z. b. fotos sieht, die ich da zwar abgelegt habe, die aber nicht in meiner webpage vorkommen, sondern nur da drauf liegen, beispielsweise weil ich immer einen file link in meiner email mitschicken will, der eben auch auf meinem webspace liegt, aber mit der homepage direkt jetzt nix zu tun hat.

das problem ist, wenn man das verzeichnis mit benutzernamen und passwort sichert, dann kann ein anderer zwar nicht an das verzeichnis oder die datei, aber ich kann z. b. auch nicht auf ein file dort in meiner email verlinken, weil es da ja dann auch gesperrt ist und somit nicht angezeigt wird - nicht?

ich will also verhindern, dass jemand alle files sieht, die auf meinem webspace liegen - es sei denn der downloader weiss den namen des files.
wenn er den weiss, dann kann man glaub ich immer downloaden.
ich glaub nicht, dass es möglich ist gezielte dateien einzeln zu schützen - oder?
ich will ja das geschütze file anderweitig verlinken, das sollen aber nur privatpersonen sehen!

kann mir da jemand helfen bzw. mir einen link geben wo ich das nachlesen kann wie man das macht?

ich weiss nicht nach was ich das suchen soll, bis jetzt war alles irgendwie erfolglos. ich kenn mich da auch nicht sonderlich aus, muss ich zugeben.
ich weiss aber dass das geht und man bei manchen seiten nur die files runterladen kann, dessen namen man auch weiss oder die zum verlinken scheinbar "freigegeben" sind. alles scannen geht da nicht - und genau das ist wonach ich suche.

wer da helfen kann bitte melden - danke.
gibts evtl. eine seite wo man das nachlesen kann? bis jetzt fand ich leider nix konkretes.

thx.

Geschrieben von: stype (Usernummer # 324) an :

zwar etwas umständlicher, aber überaus effektiv:
- für dateien, die du vor einsicht schützen möchtest, ein unterverzeichnis auf deinem webspace anlegen und die betreffenden dateien dahin hochladen.
- das verzeichnis anschließend mit phpaccess (google!) schützen. was das genau ist und wie man das zum laufen kriegt, erklärt die beiliegende readme weitaus besser als ich das je hier ausbreiten könnte.
kann nur sagen, dass es bei mir als ftp-laie nach recht kurzer zeit hingehauen hat, was wohl auch an dem intuitiven grafikinterface liegt.
du musst eben für die user, die sich aus dem verzeichnis was anschauen wollen, einen account nebst passwort anlegen, aber auch dies ist äußerst unkompliziert in 2 minuten erledigt.

Geschrieben von: moment (Usernummer # 11189) an :

hi,
eigentlich müsste es reichen in dem verzeichnis
eine index.html abzulegen [Wink]

dann wird wenn jedem der ht*p://www.yourwebspace.de/bilder/ abruft, die index.html des bilder-verzeichnisses angezeigt,
anstatt des kompletten verzeichnisinhaltes...

Geschrieben von: nicogrubert (Usernummer # 1292) an :

Zitat:
Ursprünglich geschrieben von: moment:
hi,
eigentlich müsste es reichen in dem verzeichnis
eine index.html abzulegen
dann wird wenn jedem der ht*p://www.yourwebspace.de/bilder/ abruft, die index.html des bilder-verzeichnisses angezeigt,
anstatt des kompletten verzeichnisinhaltes...

aber ein "wget http://www.yourwebspace.de/bilder/" zieht dann doch alles, oder irre ich mich ?

Geschrieben von: mantis* (Usernummer # 3606) an :

Entweder man schützt Dateien mit ner Authentifizierung durch User/Password - oder nicht.

Du kannst per .htaccess zwar einstellen, dass das Verzeichniss, in dem die Bilder liegen, nicht aufgelistet werden (Options -Indexes), aber letztendlich ist es immer noch möglich diese anzuzeigen wenn man den genauen Dateinamen kennt.

Mehr dazu: http://selfhtml.teamone.de/diverses/htaccess.htm

Geschrieben von: Cymorris (Usernummer # 5951) an :

Zitat:
Ursprünglich geschrieben von: nicogrubert:
aber ein "wget http://www.yourwebspace.de/bilder/" zieht dann doch alles, oder irre ich mich ?

Ich kannte diesen Befehl zwar nicht, aber vom Prinzip her macht der GetRight-Browser wahrscheinlich das gleiche ...

Das heisst, selbst wenn du eine index.html Seite drin hast, und der Server auf dem die Daten liegen, den Zugriff erlaubt,
dann findet man die Datei trotzdem (auch ohne den direkten Namen zu kennen).

Ich glaube, das was du Xeno willst, kann dir nur der Provider deiner Domain geben...
Denn der müsste es einstellen, dass jemand ein "ERROR GETTING DIRECTORY CONTENTS - 403 FORBIDDEN"
bekommt, wenn er es "hintenrum" versucht.

Geschrieben von: Xeno (Usernummer # 9115) an :

vielen dank für euere tipps!

da das ganze für mich neu ist, war alles schon mal sehr hilfreich für mich. besonders den link zu dieser seite von *mantis* fand ich auch sehr, sehr interessant. dort las ich auch nochmal das mit dem index.htm, dass man nicht "stöbern" kann wenn das da ist. ich glaub aber, dass das bei manchen scannern nicht unbedingt eine hürde ist.
so kann ich mit dem prog "intelli-temper" ohne probleme webspace scannen, teils auch verzeichnisse mit index.htm
was komisch ist, das ist dass auf meinem server von haus aus ein ordner "images" existiert und ich hab gestern festgestellt, dass dieser ordner scheinbar irgednwie vom provider geschützt ist und man die dateien da drinnen nicht einfach durchstöbern kann - das wusste ich bis gestern auch nicht. fragt mich nicht wie die das machen, aber es ist keine .htaccess oder so in irgendeinem verzeichnis - weiss ich nicht. nur wenn man den dateinamen kennt, dann kann man scheinbar drauf zugreifen. eigentlich wäre das ja was ich haben will. ich muss das mit dem ordner nochmal probieren. vielleicht hat der provider den ordner extra deswegen angelegt, denn ich wüsste nicht, dass ich oder mein html bzw. upload prog den kreiert hätte - wie gesagt mir ist die ganze materie ziemlich neu.
deshalb hilft hier mir auch jeder tip und anderen ja vielleicht auch noch.
besten dank an euch nochmal - hat mich sehr gefreut. [Smile]

Geschrieben von: mantis* (Usernummer # 3606) an :

Ich habs eben noch mal auf meinem Apache Webserver ausprobiert. Ein "wget -m http://localhost" zieht nur die Dateien, auf die irgendwie von der index.html aus verlinkt wird.

Was du vielleicht bei der Namensgebung der Dateien beachten solltest ist, dass ein Dateiname nicht auf den anderen schliesst (pic01.jpg, pic02.jpg, etc). ; -)

Geschrieben von: Xeno (Usernummer # 9115) an :

also mit dem "image" ordner hab ich mich wohl doch getäuscht - das funktioniert doch nicht so wie ich meinte! ich konnte gestern zwar mal ein bild das da drin war und dessen namen ich ja wusste runterladen, aber als ich es heute probierte, da ging ein popup fenster auf und ich wurde wieder nach dem passwort gefragt - so ein shit! [Wink]

jetzt fiel mir noch was ein:
ich könnte ja ein PW geschütztes verzeichnis erstellen, und in dem link den ich z. b. aus meiner email sende, müsste ich aber dann das PW oder benutzernamen gleich im link mit angeben oder blank lassen (blank=keine gute lösung, ich weiss [Wink]

)! versteht ihr was ich meine?
das wäre ein sehr, sehr gute lösung find ich!
es müsste so, sein dass man das PW und den benutzernamen ähnlich wie bei einem FTP server download mit benutzernamen und passwort gleich in den link bzw. die browserzeile eingeben kann.
ihr kennt das ja z. b. f*p://usernamen:passwort@www.meinedomain.de

weiss jemand wie man das mit dem .htaccess macht?
das geht doch sicher da auch? - oder nicht?
ich meine... beim FTP kommt auch ein popup wenn ich den normal ansteuere, aber wenn ich es direkt in den browser wie oben eingebe, dann kommt das popup ja garned erst und ich kann sofort ein file ziehen.

weiss da jemand bescheid, wie man das .htaccess popup direkt umgehen kann?
besten dank! [Smile]

@ *mantis* stimmt! du denkst über 5 ecken im voraus! cool! [Smile]

ähnlich nennen sollte man die files nicht. sehr guter tip!!

Geschrieben von: stype (Usernummer # 324) an :

Zitat:
Ursprünglich geschrieben von: Xeno:
jetzt fiel mir noch was ein:
ich könnte ja ein PW geschütztes verzeichnis erstellen, und in dem link den ich z. b. aus meiner email sende, müsste ich aber dann das PW oder benutzernamen gleich im link mit angeben oder blank lassen (blank=keine gute lösung, ich weiss )! versteht ihr was ich meine?
das wäre ein sehr, sehr gute lösung find ich!
es müsste so, sein dass man das PW und den benutzernamen ähnlich wie bei einem FTP server download mit benutzernamen und passwort gleich in den link bzw. die browserzeile eingeben kann.
ihr kennt das ja z. b. f*p://usernamen:passwort@www.meinedomain.de

weiss jemand wie man das mit dem .htaccess macht?
das geht doch sicher da auch? - oder nicht?
ich meine... beim FTP kommt auch ein popup wenn ich den normal ansteuere, aber wenn ich es direkt in den browser wie oben eingebe, dann kommt das popup ja garned erst und ich kann sofort ein file ziehen.

weiss da jemand bescheid, wie man das .htaccess popup direkt umgehen kann?
besten dank!

ich hab doch oben lang und breit was von phpaccess geschrieben, was imho leichter zu handhaben ist als htaccess und zu allem überfluss auch noch freeware ist.
hab das zwar noch nicht ausprobiert, den angelegten usernamen und passwort in die url einzugeben, aber jeder browser, mit dem ich das bisher praktiziert habe, meldet sich mit einem popup-fenster, wo die entsprechenden daten eingegeben werden müssen. die speichert er auch bis zum ende der sitzung (= browser wird geschlossen), danach muss man diese anmeldeprozedur nochmal durchziehen, was in zeiten von passwort-management aber auch nicht mehr so das problem sein dürfte...

Geschrieben von: Xeno (Usernummer # 9115) an :

@ stype
mir ist schon klar was du meinst - keine angst! [Smile]

ich hab mir das ding auch schon kurz angesehen.

aber es ist für mich unzumutbar jedem der meine email kriegt ein passwort aufzubrummen, nur um ihn auf ein file auf meinem webspace zu linken. das will ich nicht. ich will mir einfach die ganze PW prozedur sparen, und das am besten schon im link integrieren, verstehst du.
mir geht es ja hauptsächlich auch darum dass der webspace nicht gescannt werden kann, was eben, wie es scheint nur mit einem der obingen mittel zu verwirklichen ist.
ich dachte halt, da es mit FTP geht, geht es auch mit einem der obigen mittel. ich meine, wo ist der unterschied, ob ich das direkt eingebe oder über so ein doofes popup. ist ja beim FTP ganz genau so, da geht es ja auf zwei arten.
das wollte ich eben wissen, ob mir ein html-freak sagen kann wie man das macht, bzw. ob es überhaupt geht. [Smile]

Geschrieben von: stype (Usernummer # 324) an :

hmmm, dann legst du eben nur zwei user an. einmal dich als admin, und zum anderen einen account für diejenigen, die sich aus dem verzeichnis was herunterladen dürfen. eine e-mail für alle - problem beseitigt :-)
hatte noch vergessen zu erwähnen, dass sich das fenster mit der passwortabfrage auch dann meldet, wenn man den link zur datei direkt im browser eingibt. das beträfe dann auch die browser von getright und co.

bin allerdings auch offen dafür, wie man das mit htaccess bewerkstelligen könnte.

Geschrieben von: mantis* (Usernummer # 3606) an :

Meines Wissens nach ist das mit http nicht möglich, da man mit Get keine Informationen bezüglich der Authentifizierungs angeben kann.

Die perfekte Lösung wäre tatsächlich die Bilder als Objekte in einer Datenbank zu speichern und die Authentifizierung per PHP zu realiseren. Aber da bin ich dann doch etwas überfragt.

Geschrieben von: bavarian (Usernummer # 10947) an :

wenn die "paar dateien" so geheim und wichtig sind... dann mach aus jeder Dati ein ZIP - file draus und versehe diese mit Passwort...

OK mann kann´s auch Knacken, aber sehr umständlich und schwere Prozedur....

Gruß bav

Geschrieben von: Xeno (Usernummer # 9115) an :

schade dass das ned irgendwie geht.

was ja auch ginge, das wäre wenn ich selbst sowas wie einen FTP server beim provider da in mein verzeichnis packen könnte, leider müsste man aber die files, z. b. ein bild, dann auch im broser "anzeigend" linken können... nicht nur für download. *lach*

da steht man mit .htaccess fast vor dem ziel und ist doch irgendwie noch meilen entfernt *lach* sowas! [Wink]

danke nochmal an alle.

Geschrieben von: Xeno (Usernummer # 9115) an :

nochmal - ich will da eigentlich nur dass bestimmte leute bestimmte sachen nicht sehen.
ich sags jetzt mal auf lustige art und krass:

angenommen ich hab webspace und dazu die passende stink normale private homepage mit bildern von mir drauf - die darf auch jeder sehen!
so, jetzt habe ich da z. b. noch nacktbilder von meinem hund drauf *lach*, die soll eben nicht unbedingt jeder sehen! weil ein nackter hund schämt sich halt und will das nicht! [lach]

besucht einer meine webseite und scannt die verzeichnisse, so findet er ja auch die nacktbilder von dem hund, obwohl die ja mit der webpage nix zu tun haben und die ihn garnicht interessieren sollen!
pack ich die nacktbilder in ein PW geschützes verzeichnis, so kann die der jenige zwar nicht mehr scannen und finden, aber ich kann z. b. die dinger auch nicht verlinken, z. b. wenn ich bei meinen emails wenn ich mit freunden von "nackt-pinschern" kommuniziere immer dieses nackt bild von dem hund in der email anzeigen will.
denn dazu müsste ich ihnen ein PW und usernamen mitteilen, damit er das sehen kann! ich will das aber aus dem geschützen verzeichnis für diese personen direkt verlinken!
alle die meine seite sonst besuchen, die sollen mit dem bild ja garnicht erst in kontakt kommen oder es gar durch einen scan finden!
das ist mein problem!
könnte ich aus dem geschützen verzeichnis jetzt über einen link (wie oben erwähnt mit PW und username) in der email linken, so wäre das problem gelöst. der der meine email bekommt kriegt den link zum bild und es soll ohne PW und username prozedur in seiner email angezeigt werden! lange rede kurzer sinn! [Smile]

alles klar? so in etwa war das gemeint.
nein, ich hab keine schweinischen sachen auf meinem server - das war nur eine beispiel damit es etwas klarer wird, warum ich das so machen will.
es gibt einfach files, die muss nicht jeder sehen und ich will sie aber trotzdem auf meinen server legen, für andere leute, die sie sehen dürfen!
denen will ich aber nicht jedesmal das passwort mitteilen müssen... ich könnte ja statt aus der email auch von einer "nackt-pinscher seite" auf den webspace linken - die leute kenn ich dann garnicht persönlich! hats irgendwer jetzt immer noch nicht gefressen? dann geb ich es auf! [Wink]

Geschrieben von: philipp (Usernummer # 687) an :

Wenn du verhindern willst dass man durch Angabe eines Verzeichnisnamens eine Liste der dort enthaltenen Dateien sieht musst du nur eine index.htm in das Verzeichnis packen - die wird dann statt der Dateiliste angezeigt. Kann auch eine leere Datei sein.

Geschrieben von: Xeno (Usernummer # 9115) an :

@ philip

was ist mit scan-programmen wie "intelli-temper"
die scannen und zeigen so gut wie alles an, was nicht PW geschützt ist! am liebsten glaub ich mögen die index dateien... [Wink]

ist das mit dem index.htm 100% sicher? kann ich mir irgendwie so garnicht vorstellen. ich kann meinen gesamten webspace oder den von irgendwem anderen scannen, selbst wen derjenige 100 index.htm 's einbaut! [Wink]

Geschrieben von: philipp (Usernummer # 687) an :

Die einzige andere Möglichkeit, herauszufinden welche Dateien auf einem Webspace liegen ist raten und/oder alle Möglichkeiten durchprobieren (Was im Prinzip das selbe ist). Ich schau mir das Programm mal an. Hast du dazu einen Link?

Geschrieben von: Xeno (Usernummer # 9115) an :

das prog heisst "intelli-tAmper" mit "a"
ich hatte mich oben vertan - bitte vielmals um entschuldigung!
thx *manits* for hinweis!
das ist so ein ding, das die struktur von webspace anzeigt, mit den ganzen files und wo sie liegen.
sicher nicht das einzige prog in dieser art.

Geschrieben von: philipp (Usernummer # 687) an :

Siehe http://www.intellitamper.com/infos.php

"The public scan is based on precise and recursive HTML analysis, then a dictionnary of common files and folders names is used to try to discover hidden parts of the server."

Das Programm durchsucht also erst alle HTML-Dateien die es gibt auf Links (public search) und sucht dann nach bestimmten, häufig vorkommenden Dateinamen. Es rät also. Wenn du deinen Dateien einen Namen gibst, den man nicht raten kann (z.B. xenos-pic-63676138234252654.jpg) dann kann sie auch nicht gefunden werden!

Geschrieben von: mik (Usernummer # 5095) an :

Du mußt einfach per chmod 711 die Berechtigung des Verzeichnisses ändern. Um das Auflisten des Verzeichnisses wieder zu erlauben chmod auf 705 stellen.

Geschrieben von: mantis* (Usernummer # 3606) an :

auch wenn es wahrscheinlich nicht mehr aktuell ist: an ein mit .htaccess geschützten webbereich kann man mit dem link http://user:password@www.meineseite.de/blabla zugreifen. :-)

Geschrieben von: mik (Usernummer # 5095) an :

Zitat:
Ursprünglich geschrieben von: mantis*:
auch wenn es wahrscheinlich nicht mehr aktuell ist: an ein mit .htaccess geschützten webbereich kann man mit dem link http://user:password@www.meineseite.de/blabla zugreifen. :-)

Dazu mußt du allerdings Username und Passwort kennen. Die Person die einen Webscan durchführt sollte dies eigentlich nicht kennen.