Sicherheitsrisiko beim attachment mod
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Sicherheitsrisiko beim attachment mod
Hallo,
Ich nutze den Attachment mod, funktioniert auch sehr gut.
Leider gibt es aber eine Sicherheitslücke.
Die downloads werden in einem vordefinierten Verzeichnis gespeichert und sind leider über die php session id's zugänglich.
Das heisst, wenn jemand die id's ändert, kann er auf alle uploads zugreifen.
Gibts eine Möglichkeit die Uploads in der Datenbank zu speichern und nur der User mit den erforderlichen Rechten darf sie dann downloaden ?
Gruß
IceT
Ich nutze den Attachment mod, funktioniert auch sehr gut.
Leider gibt es aber eine Sicherheitslücke.
Die downloads werden in einem vordefinierten Verzeichnis gespeichert und sind leider über die php session id's zugänglich.
Das heisst, wenn jemand die id's ändert, kann er auf alle uploads zugreifen.
Gibts eine Möglichkeit die Uploads in der Datenbank zu speichern und nur der User mit den erforderlichen Rechten darf sie dann downloaden ?
Gruß
IceT
(1) Du kannst ein beliebiges Verzeichnis als Dateiablage angeben.
(2) Wenn Du das Attachment-Mod so einstellst, daß die Downloads allesamt nur über die Datei "download.php" laufen, kannst Du folgende .htaccess-Datei in die Dateiablage schreiben, die jegliche direkten HTTP-Zugriffe verhindert:
(3) Hat das nichts mit den Session-IDs zutun.
(4) Würde ich persönlich dies weder einen Bug noch eine Sicherheitslücke nennen.
Grüße,
Gérome
(2) Wenn Du das Attachment-Mod so einstellst, daß die Downloads allesamt nur über die Datei "download.php" laufen, kannst Du folgende .htaccess-Datei in die Dateiablage schreiben, die jegliche direkten HTTP-Zugriffe verhindert:
Code: Alles auswählen
Options -Indexes
Order Deny,Allow
Deny from all
(4) Würde ich persönlich dies weder einen Bug noch eine Sicherheitslücke nennen.
Grüße,
Gérome
Attachment mod
Ja, aber dann muss ich in der htaccess Datei die einzelnen User auch anlegen.
Besser wäre es, wenn die attachments in der Datenbank gespeichert würden oder?
Besser wäre es, wenn die attachments in der Datenbank gespeichert würden oder?
Nein, musst Du nicht. Diese paar Zeilen da oben reichen aus. Das PHP-Script "downlaod.php" hat ja unabhängig davon Zugriff auf dieses Verzeichnis.
Vermutlich könnte man das Attachment-Mod so patchen, daß die Attachments aus einer DB geholt werden. Aber mir ist kein direkter Weg bekannt.
Grüße,
Gérome
Vermutlich könnte man das Attachment-Mod so patchen, daß die Attachments aus einer DB geholt werden. Aber mir ist kein direkter Weg bekannt.
Grüße,
Gérome
hmm
ok,
wie mache ich das dann mit der htaccess Datei ?
Hat dann jeder registrierte User, bzw jeder User, den ich in htaccess freischalte die Möglichkeit die attachments downzuloaden?
Ich suche eine Möglichkeit, bei der zwar alle attachments zentral gespeichert werden, aber nur der eingeloggte User zum Beispiel für ihn bestimmte attachments downloaden kann.
wie mache ich das dann mit der htaccess Datei ?
Hat dann jeder registrierte User, bzw jeder User, den ich in htaccess freischalte die Möglichkeit die attachments downzuloaden?
Ich suche eine Möglichkeit, bei der zwar alle attachments zentral gespeichert werden, aber nur der eingeloggte User zum Beispiel für ihn bestimmte attachments downloaden kann.
Vergiss Deinen Gedanken mit den Benutzern und der .htaccess-Datei. Alles, was sie tut, ist das Unterbinden direkter Zugriffe auf deine Datei-Ablage.
Die Verwaltung der Rechte vebleibt weiterhin bei phpBB bzw. dem Attachment-Mod.
Diese .htaccess-Datei kannst Du mit einem normalen Text-Editor erstellen und dann im Text-Modus (!) in Deine Datei-Ablage heraufladen.
Grüße,
Gérome
Die Verwaltung der Rechte vebleibt weiterhin bei phpBB bzw. dem Attachment-Mod.
Diese .htaccess-Datei kannst Du mit einem normalen Text-Editor erstellen und dann im Text-Modus (!) in Deine Datei-Ablage heraufladen.
Grüße,
Gérome
htaccess
Kannst du mit vielleicht eine htaccess schicken, so konfiguriert, wie du es schreibst?
Kenne mich leider nicht so wirklich gut damit aus.
Muss ich dann noch was ändern?
Wäre wirklich nett.
Danke und Gruß
IceT
tm@4thlevel.de
Kenne mich leider nicht so wirklich gut damit aus.
Muss ich dann noch was ändern?
Wäre wirklich nett.
Danke und Gruß
IceT
tm@4thlevel.de
Nimm' Dir einen Text-Editor, füge die drei Zeilen aus meinem ersten Beitrag ein, lade sie im Text-Modus in Deine Datei-Ablage und hoffe, daß der Websapce Deines Hosters .htaccess-Dateien akzeptiert.
1. Test: Versuche über Deinen Browser direkt eine Datei aus diesem Verzeichnis herunterzuladen. Das dürfte schon nicht mehr klappen.
Danach musst Du Dein Attachment-Mod so konfigurieren, daß alle Dateigruppen als "inline" ausgeliefert werden. Mit dem Modus "physical" dürfte es meiner Meinung nach nicht gehen, da der User dann auf die Datei in Deine Ablage weitergeleitet wird und die .htaccess-Datei dann greift.
Letzteres mußt Du einfach mal ausprobieren.
Grüße,
Gérome
1. Test: Versuche über Deinen Browser direkt eine Datei aus diesem Verzeichnis herunterzuladen. Das dürfte schon nicht mehr klappen.
Danach musst Du Dein Attachment-Mod so konfigurieren, daß alle Dateigruppen als "inline" ausgeliefert werden. Mit dem Modus "physical" dürfte es meiner Meinung nach nicht gehen, da der User dann auf die Datei in Deine Ablage weitergeleitet wird und die .htaccess-Datei dann greift.
Letzteres mußt Du einfach mal ausprobieren.
Grüße,
Gérome
Inline Modus?
Wie ändere ich das denn? Oder besser gesagt was ist der unline Modus?