kase 0 Report post Posted September 8, 2007 (edited) Hallo, Mir ist aufgefallen das im upload Verzeichnis sozusagen ungeschützt Dateien gespeichert werden. Man benötigt zwar scheinbar den Dateinamen, aber Security through Obscurity ist wohl kein wirklicher Schutz. Gibt es eine Möglichkeit dieses Verzeichnis zu schützen, denn dort werden scheinbar auch Dateien hochgeladen. Wenn mir jetzt jemand eine Datei mit eventuell wichtigen Daten schickt würde theoretisch jeder andere im upload Verzeichnis diese Datei lesen kann. Ist das richtig? Grüße, kase Edited September 8, 2007 by kase Share this post Link to post
Helge 192 Report post Posted September 8, 2007 Leider weiss ich nicht so genau, was Du meinst. Klar ist, das im /uploads/ Ordner Dateien gespeichert werden (Dateianhänge, Avatare, Fotos) aber kein User kann alle Dateien dieses Ordners aufrufen. Wie auch und vor allem WARUM? Darin befinden sich ja keine "geheimen" Dateien, sondern Dateien die im Forum aufrufbar sind (Dateianhänge, Avatare, Fotos). Du kannst natürlich mit .htaccess den direkten Aufruf der Dateien von aussen (einer anderen Website als Deiner) sperren, dann wäre kein direktes verlinken der Dateianhänge, Avatare und Fotos mehr möglich. Share this post Link to post
kase 0 Report post Posted September 8, 2007 Ok, aber nehmen wir mal an es gibt ein Moderatoren Forum zu dem nur die Forenmoderatoren Zugriff haben. Wenn jetzt eine Textdatei von einem Moderator in diesem Forum hochgeladen wird welche nur für die Moderatoren bestimmt ist. Dann kann aber jeder der den Pfad zur Datei kennt diese Datei anschauen oder herunterladen. Er muss dazu nicht einmal im Forum registriert sein, oder? Share this post Link to post
Helge 192 Report post Posted September 8, 2007 Nein, weil keiner den Dateinamen kennt... Ohne Dateinamen kein Aufruf der Datei. Dazu sei noch zu sagen, das die Dateien niemals den Originalnamen bekommen. Somit ist das rausfinden der Dateinamen unmöglich. Share this post Link to post
Stefan 0 Report post Posted September 9, 2007 Naja, ich kann die Einwände schon verstehen. Auch wenn man die Dateinamen nicht kennt und auch so nicht erraten kann, so ist es doch per Script relativ leicht an die Datein zu kommen. Bei den Bildern ist ein Schutz nicht so einfach möglich, aber bei den anderen Anhängen sollte eine einfache .htaccess für Abhilfe schaffen. Denn diese Dateien werden nicht direkt aufgerufen, sondern per Script an den Browser durchgereicht. Schau mal, ob folgender Inhalt in einer .htaccess, die sich im Verzeichnis upload befinden muss, hilft. <Files "*.ibf"> AuthType Basic AuthName "Passwortgeschützter Bereich" AuthUserFile /pfad/zur/.htpasswd require valid-user </Files> Share this post Link to post
kase 0 Report post Posted September 11, 2007 Ich glaube es muss <Files "*.ipb"> sein. Dann scheint es zu klappen. :-) Danke! Share this post Link to post
kdt 0 Report post Posted September 13, 2007 (edited) Nein, weil keiner den Dateinamen kennt... Ohne Dateinamen kein Aufruf der Datei. Dazu sei noch zu sagen, das die Dateien niemals den Originalnamen bekommen. Somit ist das rausfinden der Dateinamen unmöglich. Das dachte ich bislang bei BILDERN auch, aber: Die original Datei heißt: stone.jpg. Okay, der Name ist futsch. Aber: Jetzt klicke mal mit der LINKEN Maus drauf und unter Eigenschaften (im FF) wirst Du lesen können: http://www.ipbsupport.de/board/uploads/monthly_09_2007/post-624-1189716586_thumb.jpg Also ist das original Bild dann: http://www.ipbsupport.de/board/uploads/monthly_09_2007/post-624-1189716586.jpg Probieren wir es mal aus: Ahja Toller Trick, ist aber doof - finde ich ! Ich wette, viele von Euch wusten das noch nicht :P Edited September 13, 2007 by kdt Share this post Link to post
Helge 192 Report post Posted September 13, 2007 Ich sehe hier aber immer noch kein Sicherheitsrisiko. Share this post Link to post