Hallo
Ich habe eine Frage zu den Dateianhängen und zwar lassen sie sich bei mir einfach so über eine bestimmte URL herunterladen. Und zwar auch als Gast. (Ich meine die richtige Datei inklusive Dateiname usw. Also nicht der eigentliche Pfad.)
Wie kann ich das unterbinden?
Die Nutzung dieses Board hier ist kostenlos oder?
mfg
Dateianhänge einfach herunterladbar...
Forumsregeln
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 3.0 hat das Ende seiner Lebenszeit überschritten
phpBB 3.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 3.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf die neuste phpBB-Version, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Re: Dateianhänge einfach herunterladbar...
sofern die dafür vorgesehene .htaccess in dem verzeichnis liegt, sollte das eigentlich unmöglich sein..
und, ja .. der service ist kostenlos..
und, ja .. der service ist kostenlos..
Re: Dateianhänge einfach herunterladbar...
Hi
Die .htaccess liegt nicht im Ordner. Wie sollte die denn ungefähr aussehen?
mfg
Die .htaccess liegt nicht im Ordner. Wie sollte die denn ungefähr aussehen?
mfg
-
Metzle
- Ehemaliges Teammitglied
- Beiträge: 10435
- Registriert: 08.03.2008 02:50
- Wohnort: Waiblingen-Neustadt
- Kontaktdaten:
Re: Dateianhänge einfach herunterladbar...
Hallo,
am Einfachsten dürfte es sein, wenn du dir einfach eine .htaccess aus einem frischen Paket rausnimmst und reinkopierst.
am Einfachsten dürfte es sein, wenn du dir einfach eine .htaccess aus einem frischen Paket rausnimmst und reinkopierst.
Re: Dateianhänge einfach herunterladbar...
Hi
Das habe ich nun gemacht, dass Problem ist nur, dass man die Datei über den "konformen" Weg abrufen kann. Man kann also einfach den normalen GET Befehl oben als URL angeben(den gleichen der im Beitrag steht) und die Datei kommt, auch wenn man nicht angemeldet ist, geschweige denn Rechte für dieses Forum hätte.
mfg
Das habe ich nun gemacht, dass Problem ist nur, dass man die Datei über den "konformen" Weg abrufen kann. Man kann also einfach den normalen GET Befehl oben als URL angeben(den gleichen der im Beitrag steht) und die Datei kommt, auch wenn man nicht angemeldet ist, geschweige denn Rechte für dieses Forum hätte.
mfg
Re: Dateianhänge einfach herunterladbar...
dazu muss man aber den exakten namen der datei kennen, selbst wenn man den pfad kennt (der ja bekannt ist). den namen kann man aber nicht kennen, wenn man keinen zugriff zu dem bereich hat. so bleibt nur die rate-methode, die eher als steinzeit-hack zu verstehen ist > also keine sicherheitslücke. und wer die datei sehen kann, kann sie logischerweise auch runterladen. kann man auf jeder anderen website auch.
Re: Dateianhänge einfach herunterladbar...
Hi
Nein, das geht einfach über die id. also ?id=1
mfg
Nein, das geht einfach über die id. also ?id=1
mfg
-
dieweltist
- Mitglied
- Beiträge: 1966
- Registriert: 25.07.2006 13:28
- Wohnort: Thüringen
- Kontaktdaten:
Bspw. den Dateianhang http://forumtreff.pytalhost.de/download/file.php?id=29 kann leider jeder herunterladen, wenn er diese URL in die Adressleiste des Browser einfügt. Damit dieser aber wenigstens nicht heruntergeladen werden kann, wenn jemand diese URL auf irgendeiner Seite fremdverlinkt, helfen ggf. nachfolgende Eintragungen in die .htaccess.
=> http://www.phpbb.de/community/viewtopic.php?p=1093567#p1093567
=> http://www.phpbb.de/community/viewtopic.php?p=1093567#p1093567
Re: Dateianhänge einfach herunterladbar...
ahja, dann sollten die entwickler da nochmal nachbessern. ich persönlich benutze eh mein eigenes upload-modul (Easy Upload Manager) und nicht das phpbb3-upload-modul, wo dann genau das gilt, was ich vorher schrieb.Nein, das geht einfach über die id. also ?id=1
Re: Dateianhänge einfach herunterladbar...
Hi
Das ist aber wirklich eine riesige Sicherheitslücke. Damit macht es für meinen Zweck keinen Sinn mehr, Dateianhänge im Board zu nutzen.
Gibt es da keinen Patch?
mfg
Das ist aber wirklich eine riesige Sicherheitslücke. Damit macht es für meinen Zweck keinen Sinn mehr, Dateianhänge im Board zu nutzen.
Gibt es da keinen Patch?
mfg
