Joomla Seite sichtbar...

    Hallo Forum,


    Bin ja noch "Einsteiger".. daher.. habe ich auch mal eine Security Frage..
    Eine pdf Datei welche von einer Joomla Seite her verlinkt ist, ist vom Internet her sichtbar obwohl ich der Meinung bin sie sollte es nicht sein.
    Ich habe folgendes konfiguriert unter einem speziellen Beitrag also der joomla Seite auf der der entsprechende Link ist:


    beitrag veröffentlicht
    kategorie zugriff
    haupeintrag ja
    zugriffsebene zugriff

  • Zum hilfreichsten Beitrag springen

    ok, verstanden, und wie genau muss diese ".htaccess" aufgebaut sein,
    muss diese wirklich zwingend in jedem Verzeichnis liegen hinter der eine joomla Webseite liegt?
    Aber was ist dann der Unterschied zwischen "einloggen" in einem Formular und der .htaccess?

    Tom, danke für deinen Hinweis.


    https://wiki.selfhtml.org/wiki/Webserver/htaccess


    Bsp:
    Ein Bsp Eintrag in einer .htaccess:


    AuthUserFile /usr/verwaltung/web/.htusers


    wo kann/muss ich die .htusers in meiner Diskstation ablegen, gibt es hier Vorgaben bzw was macht "Sinn"?
    Die .htaccess Datei muss ja in das jeweilige zu "schützende" Verzeichnis..
    Wie schaut es dann bei Unterordnern dieses Verzeichnises aus, denke da greift die .htaccess dann genauso?

    Hm

    • Du lädst eine Seite ins web und setzt einen Link auf eine PDF
    • Seite und PDF sind "sichtbar"
    • Du willst, dass die PDF per Link von der Seite abrufbar ist
    • Du willst nicht, dass man die PDF auch anders abrufen kann

    Wenn Du htaccess auf dem Weg machst, dann muss man Benutzername und Passwort eingeben nach dem Klick auf den Link

    • Egal ob man auf den Link auf Deiner Joomla!-Seite klickt
    • oder ob man den Link anders erfahren hat

    Ist Dir das bewusst? Also dann man dann immer ein Passwort eingeben muss?


    Wenn Du willst, dass man die PDF nur dann herunterladen/ansehen kann, wenn man über Deine Seite kommt, solltest Du ganz anders vorgehen.

    Ich glaube auch, dass du eher willst, dass man ohne Passwort die PDF auf deiner Website aufrufen kann, sie aber nicht über eine Suche im Web gefunden wird.
    Stimmt das?


    @89hf4edc Du machst es aber spannend, wie sollte man denn dann vorgehen? Mit den Meta Daten noindex und nofollow? Wie macht man das am besten in Joomla! für eine PDF oder für Bilder im Image Ordner?

    Ich wollte erstmal wissen, was genau gewünscht ist.
    Ich vermute das Selbe wie Du, Astrid und wollte erst mal die Antwort abwarten, bevor man Tipps gibt, die am Ende unnötig sind.


    Ich denke es gibt 2 Wege:

    • Irgendeine Download-Komponente benutzen, die die PDF durch einen Prozess schickt, wo also am Ende kein wiederverwendbarer Link erzeugt wird
      Ich selbst bin aber ein Freund von Extension-Sparsamkeit, würde den Weg also nicht unbedingt empfehlen.
    • Das Indizieren verbieten ist eine gute Idee und man kann mit mod_rewrite-Regeln den Refererer prüfen und dann den Zugriff verweigern, wenn der Referer nicht passt.


      Probleme gibts nur bei "selbsternannten Sicherheits-Spezialisten", die die Übermittlung des Referer im Browser unterdrücken.


      https://httpd.apache.org/docs/2.2/rewrite/access.html
      und
      https://www.google.de/search?q…ei=4ohyVuHIEaX4ywO6oLCYDQ

    Sicherlich. Die meisten meiner Kundenanfragen in dem Bereich waren aber:

    • Dass ein Kunde eine heruntergeladene Dateio weitergibt, kann man nicht verhindern
    • Man will aber verhindern, dass der Link weitergebbar ist und direkt durch Anklicken des Links die Datei nicht abrufbar sein soll

    Da muss man halt ermitteln, welches Schutzbedürfnis man hat und wieviel Aufwand man treiben möchte.

    Hallo zusammen,


    Was ich eigentlich wollte ist:
    Es gibt eine joomla Webseite mit Einloggmöglichkeit. Ein bestimmter User hat das Recht sich einzuloggen.
    Nach dem Einloggen und nur dann sieht er auf einer neuen joomla Webseite eine Seite mit Links zu pdfs.
    Diese pdfs sollen sonst nicht sichtbar und auch nicht google-suchbar sein..

    Dann würde ich Dir raten, die Funktion in Joomla zu benutzen, die den Beitrag erst nach Login sichtbar macht. Und das Ganze würde ich in Deinem Fall mit einer Download-Extension kombinieren, die einmalige Downloads generiert und auch erst nach dem Login ausrückt.


    Würdest Du nur den Login von Joomla benutzen, wäre der Link zur Datei auch nach dem Logoff noch abrufbar, wenn man sich den Link abspeichert.

    Das hört sich doch mal richtig einleuchtend an.. herzlichen Dank für den Tip.
    werde also mal nach Download-Extension einmalig googeln..:>))



    "die Funktion in Joomla zu benutzen, die den Beitrag erst nach Login sichtbar macht"
    .. habe ich ja schon, man muss sich ja einloggen damit man die linkseite sieht.... das meintest du doch denke ich?

    Ich hab mal RokDownloads benutzt, allerdings hatten die mal ein Sicherheitsupdate 1 Tag nach einem neuen Release veröffentlicht und die Versionsnummer nicht erhöht, nur das Datum 1 Tag weiter. Das war vor der Zeit des Joomla-Updates. Und deswegen hatte ich das Update übersehen (trotz regelmäßigem Check) und dann wurde die Seite gehackt.


    Dank serverseitigen Backups kein Problem, bin aber immer noch angepisst deswegen.

    http://www.patrick-gotthard.de…u-per-htaccess-verhindern


    hab ich mir mal angeschaut.


    ok, wenn ich einen Ordner schützen wollte:



    Bestimmte Ordner oder Dateien schützen
    Anders als in der oben beschrieben Methode, darf man bei Webseiten
    nicht alles sperren, denn so könnte niemand mehr deine Seite besuchen,
    wenn er von einer anderen Seite kommt. Deshalb muss die RewriteRule
    angepasst werden.


    Anhand des Upload-Verzeichnisses von WordPress zeige ich euch, wie man einzelne Ordner gegen Traffic-Klau schützt:
    RewriteRule ^(.*)/wp-content/uploads/(.*)$ - [F]


    Möchtest du auch andere Dateitypen schützen, musst du einfach weitere Dateiendungen eintragen.


    ^.* Sämtliche Datenzugriffe werden geprüft
    [F] [F] sendet für jeden unerlaubten Zugriff ein Forbidden (Verboten) und liefert die angeforderte Datei nicht aus
    (.*?)patrick-gotthard\.de(/.*)? Dieser Ausdruck erlaubt jeglichen Zugriff ausgehend von techspread.de. Hierbei ist es egal, welches Protokoll (z.B. http:// oder https://) oder welche Subdomain (z.B. www.) als Referer übermittelt wurde. Natürlich musst du hier deine Domain eintragen


    Fragen:
    1.)was genau bedeutet hier "(.*)$"?
    2.) was genau wird bei ^(.*)/wp-content/uploads/(.*)$ - [F] geprüft und wer genau hättet Zugriff?
    3.) Wo müsste ich dieses Statment (angepasst an meinen Ordnername in dem die Webseiten liegen)
    dann eintragen?