[schiieech]

Olá,

ich habe auf meiner Seite einen per PHP geschützten Bereich für registrierte Benutzer. In diesem Bereich befinden sich ZIP-Files, die der Nutzer erst nach dem PHP-Login runterladen kann.
Allerdings werden die Files bei Google gelistet und der Login kann umgangen und die Files runtergeladen werden.

Wie kann ich die Files jetzt effektiv schützen?

Verwende einen IIS6 mit PHP 4.2.1.

Ein System-Schutz wie z.B. HTACCESS geht leider nicht, da die Logins in einer Datenbank vergeben und mit Rechten für einzelne Bereiche versehen werden.

Plz hlp!
s.

[tiberian]

Du könntest ein PHP-Script benutzen, "durch" das der Download stattfindet. Das geht mit der fopen() und fwrite() Funktionen. Beispiele dafür findest du genug im Webtechnik Forum.

Weiterhin würde ich dir eine robots.txt empfehlen, die den Suchmaschinen verbietet, bestimmte Seiten und verzeichnisse zu indexieren.

[schiieech]

robots.txt ist schon mal ne gute idee. danke.

aber wie stell ich das mit fopen() und fwrite() an? ich kenn die funktionen, wüsste aber nicht, wie ich die mit einem PDF-File oder ZIP-FIle anwenden sollte?

[Andreas37]

Warum packst Du die PDF-Files nicht in eine passwortgeschützte RAR oder ZIP-Datei ?

[kawabonga]

Zitat:

Zitat von Andreas73 

Warum packst Du die PDF-Files nicht in eine passwortgeschützte RAR oder ZIP-Datei ?

Hätte ich jetzt auch gesagt ... oder halt direkt die pdf-files pw schützen.

Letzteres erspart dir unter Umständen (je nach Zielpublikum) viel Zeit ... "Häh rar, was is das denn? Das is dochn Virus hat der Kumpel von meinem Neffen gesächt."

[Doik]

Zitat:

Zitat von Andreas73 

Warum packst Du die PDF-Files nicht in eine passwortgeschützte RAR oder ZIP-Datei ?

Benutzerunfreundlich.
Ich darf etwas runterladen, warte, und am Schluss wird mir gesagt, ich darf das gar nicht sehen.
Schlechte, unprofessionelle Möglichkeit.
@schiieech: Das sollte helfen
so long
Doik

[Greg5000]

Du könntest die Datei einfach in ein Verzeichnis legen, auf das man über den Webserver nicht zugreifen kann. In einem Script rufst Du die Datei dann per include() auf und sendest sie mit dem entsprechenden Header (kA was das für PDF ist - recherchieren!) ab.

PDF ist allgemein nicht sehr benutzerfreundlich. Es wäre ratsam eine HTML-Alternative anzubieten.

Zitat:

Ich darf etwas runterladen, warte, und am Schluss wird mir gesagt, ich darf das gar nicht sehen.
Schlechte, unprofessionelle Möglichkeit.

Full Ack!

[schiieech]

@Doik & Greg:
Das sind zwei sehr gute Hilfen, vielen Dank erstmal für den Denkanstoß. Leider weiß ich nicht, wie ich bei einem IIS unter Windows auf Verzeichnisse außerhalb der "Standard-Webseite" (wwwroot) zugreifen kann :-(

Aber ich werd mal mein Glück probieren, falls ich ne Lösung finde, poste ich sie hier. Bitte macht das gleiche, falls ihr ne Lösung kennt.

Danke,
s.

[Greg5000]

Also von IIS habe ich ja mal garkeine Ahnung. Aber es gibt doch ein Verzeichnis (meistens html) auf die Deine Domain verweist, wenn Du sie nicht irgendwohin umleitest. Wenn Du Dich per FTP einloggst ist dieses Verzeichnis in einem anderen Ordner (deinem Root). In dem kannst Du dann Deine Datei ablegen. Natürlich kannst Du da auch Unterordner erstellen.

Ich denke, das müsste eigentlich unabhängig vom Webserver so sein. Sicher bin ich mir da aber nicht.

[schiieech]

hmm, stimmt. du meinst das public_html verzeichnis. gute idee! :-)

merci

[Greg5000]

Jap, kann auch so heissen

[B4c4rd1]

Also hier meine Idee die 100% funktionieren wird.

Zur Vorgeschichte.
Auf meiner Seite hatte ich auch eine Zeit lang 650 MB Große Dateien zum Download druf.
Nir kamen andere Seiten auf die Idee die Dateien direkt zu linken(Ich hasse Diebe.......glei HAND ab).

Nunja ich habe den Ordner mit einer .htaccess geschützt so das ein direkter aufruf über den Browsser zu einen 403 Error führte.

Da PHP serverseitig ausgeführt wird, beachtet PHP die .htaccess nicht mehr, wenn man z.B. den normalen Pfad http://www.domain.de/downloads/datei.zip in /var/www/virtual/domain.de/htdocs/downloads/datei.zip austauscht.

So kann das PHP-Script(Nur geltend für scripte auf dem eigenem Server) den Download starten aber kein andere Browser.

Natürlich ist das nicht der einzige schutz der noch eingeführt werden müsste.

Z.B. kann wer anderes direkt dein Script an steuern um den Download sofort zu starten.

Da könntest du deinem Script sagen, das er jedes mal eine zufällig generierte nummer in die DB schreibt und das diese dann mit dem Downloader verglichen wird.
Wird die Nummer des Downloaders nicht in der DB gefunden, bekommt er den Download einfach nicht :P

Bla bla bla.......eine recht komplizierte sache.....
Es ist aber machbar......

[schiieech]

Hmm, das klingt nach einer sehr guten Möglichkeit. Vielen Dank, das werd ich probieren! :-)

s.

[betauser2]

Sorry das ich das hier raushole aber ich habe das gleiche Problem.

Wie kann ich per Htaccess Dateien als Zip ode Rar vor direkt downloads schützen ?

[betauser2]

Ich bräuchte wirklich eure Hilfe bei diesem Problem.

[tiberian]

htaccess schutz für Dateien funktioniert exakt genauso wie für normale Webseiten auch.