wie Direktzugriff auf Dateien verhindern?

    Hallo!


    Habe einen Bereich, wo man sich erst einloggen
    muss, um dort zuzugreifen.
    Es liegen dort Mediendateien, aber in einem
    Verzeichnis auch ein eigenes php3, wo mittels
    Wrapper-iframe drauf zugegriffen ist.
    Auf dem normalen Weg funktioniert auch alles.


    Wenn man nicht eingeloggt ist, aber die URL
    zu einer der eigentlich internen Mediendateien
    oder zu dem eingentlich internen php3 kennt
    und eintippt, dann kommt man ungehindert zu
    dem Inhalt.
    Wie kann ich das verhindern/schuetzen?


    Wenn ich auf die Verzeichnisse ein klassisches
    .htpasswd setzen wuerde, dann muesste man
    sich ja, wenn man den eigentlich vorgesehenen
    Weg ueber das Joomla kommt, 2x einloggen,
    einmal im Joomla-Loginmenue und dann nochmal
    in der htpasswd-Einlogmaske.


    Kann man das irgendwie "konsolidieren"?
    Also, wenn man ueber das Joomla kommt, sich
    nur einmal im Loginmenue einloggen zu muessen,
    aber uneingeloggt den direkten Weg mittels
    URL-Eingabe abblocken?


    Gruss, Buchi

    Mehrere Möglichkeiten...


    Du könntest den Schutz mit der htaccess / htpasswd machen und in der URL des iFrames Benutzer und Passwort übergeben. benutzer:passort@example.com/
    Nachteil... der IE macht da nicht mit. MS ist der Meinung es sei eine Sicherheitslücke.


    Möglichkeit 2: HTTP-Authentifizierung mit PHP (einfach mal google fragen)


    Möglichkeit 3: Binde deine Datei z.B. mit https://extensions.joomla.org/extension/jumi/ ein.

    Einen Schutz, wie du ihn dir bzgl. Mediadateien vorstellst, scheint es nicht zu geben. Ich habe mich auch sehr lange mit der Materie beschäftigt und bin bisher zu keiner zufriedenstellenden Lösung gelangt.
    Die einzige Methode, die ich noch nicht probiert habe, ist die Realisierung von Symlinks. Hierbei werden die Mediadateien außerhalb des zugreifbaren Bereiches gespeichert, so dass die direkte URL-Eingabe zu diesen nicht möglich ist. Die Verknüpfung erfolgt dann über die Symlinks.
    Wie gesagt, ich habe diese Methode bisher nicht getestet. Falls du damit weiterkommst, würde ich mich über ein Feedback deinerseits freuen.