Login bei Mediendatenbank

[search1]

Hab ein Problem bei der Mediendatenbank: Gibt man den korrekten Link im Browser ein, kann man jedes beliebige Dokument aus der Mediendatenbank abrufen, auch wenn es nur im internen Bereich verlinkt ist. Kann ich irgendwie den Login-Bereich auf Teile der Mediendatenbank ausweiten, mit {if loged in} oder ähnliches oder ganz anders?

[garvinhicking]

Hi!

Ja, das ist richtig, weil die Dateien in /uploads ja fest "herum" liegen. Man kann Bilder und Dateien über den serendipity_admin_image_selector.php als Wrapper ansprechen, irgendwie mit serendipity[id]=XXX. Wie genau weiß ich gerade auswendig nicht, steht im Serendipity Buch aber ausführlicher beschrieben.

Die andere Variante wäre ienen .htaccess Passwortschutz auf /uploads zu legen...

Grüße,
Garvin

[stm999999999]

Äh, müssen die Bilder (etc.) nicht zwangsläufig von außen erreichbar sein?

Ich meine, wenn in einem Artikel ein Bild eingebunden wird, dann muß im HTML das der Browser des Lesers bekommt der Link zum Bild drin sein und der Browser ruft dann ja auch "direkt" das Bild auf und bettet es vor Ort dann in die Ansicht ein. Die HTML-Seite wird ja nicht als komplettes ganzes mit allen Bildern und so geliefert.

Sicher, man könnte in der htaccess mit einer referrer-Überprüfung arbeiten ... aber problematisch wäre es doch nur, wenn man eben auch ohne Kenntnis der konkreten Dateinamen da ran käme bzw. wenn die Ordner einfach mit ihrem Inhalt aufgelistet werden würden!?

[garvinhicking]

Hi!

Äh, müssen die Bilder (etc.) nicht zwangsläufig von außen erreichbar sein?

Die oben angesprochene im Buch dokumentierte Version mit der ?id wertet übrigens einfach nur den Loginstatus aus, und gibt Bilder nur aus wenn man eingeloggt ist; die PHP-Datei dient also quasi als Downloadproxy.

Grüße,
Garvin

[search1]

...weiß nicht, ob damit das Problem gelöst wird: Ich habe in der Mediendatenbank Medien für extern zugängliche Seiten und Medien nur für intern zugängliche Seiten. Vielleicht wäre ein referer eine Möglichkeit? Bei mir klappt dies an anderer Stelle allerdings nicht mit dem Internet Explorer 8...
Wäre eine Lösung dieses Mediendatenbank-Problems nicht eine sinnvolle Ergänzung für zukünftige Serendipity-Versionen, da es bestimmt mehrere Anwender betrifft?

[garvinhicking]

Hi!

...weiß nicht, ob damit das Problem gelöst wird: Ich habe in der Mediendatenbank Medien für extern zugängliche Seiten und Medien nur für intern zugängliche Seiten. Vielleicht wäre ein referer eine Möglichkeit? Bei mir klappt dies an anderer Stelle allerdings nicht mit dem Internet Explorer 8...
Wäre eine Lösung dieses Mediendatenbank-Problems nicht eine sinnvolle Ergänzung für zukünftige Serendipity-Versionen, da es bestimmt mehrere Anwender betrifft?

Für solche Fälle gibt es ja die Integration über serendipity_admin_media_selector.php mit der im Buch erwähnten und beschriebenen Einbauweise. Die muss man halt nur per eigener Verlinkung einbauen. Da die Überprüfung viel Performance kostet und im allgemeinen für Blogs nicht relevant ist, denke ich dass es mittelfristig hier keine andere Einbindung geben wird...

Grüße,
Garvin

[search1]

Meinst Du: serendipity_admin_image_selector.php von Buch Seite 710?
Wie man die ID eines Mediums findet, verschließt sich mir. Davon abgesehen, selbst wenn ich im Eintrag den image_selector einbinde, kann doch trotzdem durch Eingabe der richtigen url (mein-Blog/uploads/pfad/datei.dateiendung) die Datei unberechtigt geöffnet werden, oder? Klar, man muss die url wissen/ausprobieren, ist aber trotzdem eine Sicherheitslücke.

Auch die Einbindung klappt nicht:
Nach dem Buch habe ich verwiesen auf: meine_Homepage/serendipity_admin_image_selector.php?serendipity[step]=showItem&serendipity[image]=50
gebe ich dies in einem Eintrag (Hyperlink einfügen) bei einem Link ein, öffnet sich das Medium mit Zusatzinformationen.

Als Bild direkt im Eintrag gelingt es mir nicht: In einem Eintrag klicke ich auf: "Bild einfügen/ verändern"; hier gebe ich die zuvor genannte Bild-url ein, die Vorschau wird angezeigt (mit Zusatzinformationen, die ich im Eintrag eigentlich nicht haben will). Bei "o.k." wird das Bild im Eintrag im Backend mit einem gebrochenen Symbol dargestellt und im Frontend gar nicht angezeigt.

Sorry, dass sich mir dies nicht besser erschließt und schon mal DANKE!

[garvinhicking]

Hi!

Meinst Du: serendipity_admin_image_selector.php von Buch Seite 710?
Wie man die ID eines Mediums findet, verschließt sich mir.

Ja, genau. Die ID kann man mit einem Mouse-Over in der Mediendatenbank auslesen. Alternativ kann man auch mit seinem angekoppelten Plugin mittels des Dateipfads aus einem Custom Entrypropertyfeld eine Datei-URL auslesen und auswerten...

Davon abgesehen, selbst wenn ich im Eintrag den image_selector einbinde, kann doch trotzdem durch Eingabe der richtigen url (mein-Blog/uploads/pfad/datei.dateiendung) die Datei unberechtigt geöffnet werden, oder? Klar, man muss die url wissen/ausprobieren, ist aber trotzdem eine Sicherheitslücke.

Dafür würde man mittels .htaccess in /uploads den Webzugriff sperren. Dann läuft alles nur über den Wrapper.

Auch die Einbindung klappt nicht:
Nach dem Buch habe ich verwiesen auf: meine_Homepage/serendipity_admin_image_selector.php?serendipity[step]=showItem&serendipity[image]=50
gebe ich dies in einem Eintrag (Hyperlink einfügen) bei einem Link ein, öffnet sich das Medium mit Zusatzinformationen.

Da gibt es auch noch mehr Parameter die man angeben muss um nur die Bilddateien durchzuloopen. Mir fehlt jetzt die Zeit das nachzuschlagen...

Ich meine auch der imageselectorplus hat eine Einbindungsoption wo man Bilder mit dem Wrapper einbinden kann, das könnte man mal checken.

Viele Grüße,
Garvin

[search1]

Hi Garvin,

also:
mit mein Blog/serendipity_admin_image_selector.php?serendipity[step]=showItem&serendipity[image]=50&serendipity[show]=full
kann ich Bilder in Einträge über den Editor mit "Bild einfügen/ verändern" eingeben, falls ich die richtige url mit id herausgefunden habe und in die Adresszeile eintrage. Dies ist für unsere Nutzer so unmöglich.

Es geht nicht mehr das deutlich komfortablere "Bilder verwalten", in dem so schön die Struktur der Mediendatenbank abgebildet wird und in dem so leicht Bilder eingefügt werden können durch einfaches Anklicken.

Hi!
Ja, genau. Die ID kann man mit einem Mouse-Over in der Mediendatenbank auslesen. Alternativ kann man auch mit seinem angekoppelten Plugin mittels des Dateipfads aus einem Custom Entrypropertyfeld eine Datei-URL auslesen und auswerten...

Beides geht bei mir nicht:
Halte ich die Maus über ein Medium, wird der Dateiname angezeigt, keine ID. Und ein "mit seinem angekoppelten Plugin mittels des Dateipfads aus einem Custom Entrypropertyfeld eine Datei-URL auslesen" versteh ich leider nicht.

Die oben angesprochene im Buch dokumentierte Version mit der ?id wertet übrigens einfach nur den Loginstatus aus, und gibt Bilder nur aus wenn man eingeloggt ist; die PHP-Datei dient also quasi als Downloadproxy.

Bei mir gibt es aber auch extern einsehbare Seiten, die auch Bilder und Medien für Externe anzeigen sollen.

Ich meine auch der imageselectorplus hat eine Einbindungsoption wo man Bilder mit dem Wrapper einbinden kann, das könnte man mal checken.

Hab ich nicht gefunden (schon zum zweiten mal geht nicht, dass man Bilder als Dateianhang hochlädt):


und:


Meinst Du nicht, es wäre einfacher, direkt mit PHP-Sessions bzw. Cookies zu arbeiten? Wenn ja, wie?
Danke und viele Grüße
Martin

[garvinhicking]

Hi!

Leider fehlt mir die Zeit mich hierein stärker im Rahmen dieses Supportforums einzuarbeiten. Die Funktionalitäten gehen hier stark in Richtung Mediendatenbank, wo man mit derzeitigem Stand noch mit einigen Plugins oder Templateänderungen und dazu notwendigem Knowhow operieren müsste.

Ich würde für solche Fälle dann den Einsatz von externen Gallerien wie Gallery empfehlen, die für solche Zwecke und einfache Benutzer deutlich besser sind.

Die s9y MDB bietet zwar die Flexibilität für all dies, ist aber nicht so simpel für den User einzubinden, bzw. da wäre schon einiges an Aufwand fällig - und die dafür notwendige Zeit würde ich derzeit prioritär eher in andere Gebiete stecken.

Grüße,
Garvin

[search1]

Hi!

Leider fehlt mir die Zeit mich hierein stärker im Rahmen dieses Supportforums einzuarbeiten.

O.k.

Ich würde für solche Fälle dann den Einsatz von externen Gallerien wie Gallery empfehlen, die für solche Zwecke und einfache Benutzer deutlich besser sind.

Also, Du würdest eine externe Gallerie empfehlen nicht nur für eine Fotogalerie; dies wollen wir zusätzlich sowieso, sondern auch eine externe Gallerie für die Medienverwaltung direkt in der Homepage (Downloads von anderen Medien wie Fotos (.doc, .pdf), Fotos, die in Einträge eingebunden werden)?

Danke und einen schönen kühlen Abend

[garvinhicking]

Hi!

Also, Du würdest eine externe Gallerie empfehlen nicht nur für eine Fotogalerie; dies wollen wir zusätzlich sowieso, sondern auch eine externe Gallerie für die Medienverwaltung direkt in der Homepage (Downloads von anderen Medien wie Fotos (.doc, .pdf), Fotos, die in Einträge eingebunden werden)?

Danke und einen schönen kühlen Abend

Wenn die Dateien so sensibel sind, dann ja. Normalerweise ist ein Link ja auch schon eine Art Passwortschutz. Wenn der Link nur geschützten Mitgliedern offenbart wird, kann die ein fremder Besucher ja im Normalfall garnicht erraten. Und wenn ein Mitglied den Link weitergibt, könnte er bei einem geschützten Dokument auch das Dokument statt dem Link weitergeben - die Information wäre dann eh nicht schützbar. Ist also die Frage, welchen Aufwand man für welche Maßnahmen genau treiben will, und was nur vorgetäuschte Sicherheit ist...

Grüße,
Garvin

[search1]

Hallo Garvin,

habe das Problem gelöst, dass nur Daten von der Mediengalerie abgerufen werden, wenn dies über einen Link (intern und extern) geschieht, und nicht, wenn man einen Link direkt in die Browser-Adresszeile eingibt (etwa: http://meine_homepage/uploads/meine_Datei): eine .htaccess-Datei im Verzeichnis /serendipity/uploads mit folgendem Inhalt:

Code: Select all

SetEnvIfNoCase Referer "meine_homepage.de" erlaubt=1
ORDER DENY,ALLOW
DENY FROM ALL
ALLOW FROM env=erlaubt

Finde die Lösung so hilfreich, dass ich hiermit vorschlage, dies in neue Serendipity-Versionen gleich einzubauen.
Beste Grüße!

[garvinhicking]

Hi!

Diese .htaccess Regel ist nicht universal einsetzbar; zudem gibt es durchaus clients die keinen Referrer übermitteln. Ich bin nicht dafür, dies standardmäßig in s9y einzubauen - wer seinen Content derart schützen will, kann das natürlich gerne tun. Grundsätzlich aber ist das Internet natürlich frei, und sollte daher auch durchaus ermöglichen dass Links von anderen Servern im gesetzlichen Rahmen eingebunden werden können. Es gibt ja Leute, die sich freuen wenn ihre Bilder (die z.b. Copyright-Hinweise tragen können) in anderen Blogs erscheinen.

Viele Grüße,
Garvin