Zugriff auf Forenstruktur verhindern? ERLEDIGT

[Drachenzuechter]

Hallo Zusammen,

dank der Hilfe hier im Forum, habe auch ich mein Forum ans Laufen
bekommen. Mal sehen, ob ich zu diesem Thema auch "geholfen" werde...

Hoffentlich bin ich im richtigen Support-Teil

Mein Problem:
Ein User hat letztlich ein Smiley im Posting benutzt, welches ich zwar im smilies-Ordner
liegen, aber nicht zur Verwendung freigegeben hatte. Es wurde nicht fremdverlinkt
sondern lag definitiv (rechte Maustaste>Grafikadresse kopieren) im Foren-Pfad.
Wie kommt er daran und wie kann ich es verhindern?
Das er möglicherweise an den Rest auch dran käme, scheint mir wahrscheinlich.

Wenn ich die Url mit /images/smilies/ oder anderen Pfaden eingebe, erhalte ich eine
leere weiße Seite angezeigt, der Webspace scheint also vom "Hoster" bereits geschützt
zu sein.

Kann ich es über .htaccess so einrichten, daß alle Zugriffe aus der Foren-Domain
heraus nicht - alle anderen jedoch- geblockt werden?
Wenn ich via .htaccess den Ordner sperre sind auch die Inhalte des betreffenden Ordners
nicht mehr für das Forum zugänglich.

Vielen Dank schon einmal für die Hilfe.

Grüße

[cYbercOsmOnauT]

Hallo alleine,

der Pfad zum Smilies-Verzeichnis ist ja kein Geheimnis. Wie lautet der Dateiname des Smilie? Ich denke mal, er hat es einfach erraten. Du kannst das Smilieverzeichnis nicht via htaccess sperren, denn dann würde in keinem Posting mehr ein Smilie zu sehen sein und die User andauernd mit htaccess Login-Popups zu kämpfen haben.

Viele Grüße,
Tekin

[Drachenzuechter]

Hi,

nee ein Geheimnis ist der Pfad natürlich nicht.

Aber irritieren tut es mich schon, zumal man sich den Inhalt nicht auflisten lassen kann.

Das Smiley heißt "qgreenjumpers.gif" und war das Einzige im Ordner, welches nicht freigegeben
war. Ist mir irgendwie zuviel des Zufalls, bei den tausend freien Smilies welche überall "rumgeistern".

Das ich das mit einer einfachen .htaccess nicht hin bekomme, war mir nach zwei Versuchen leider
auch schon klar.

Na , das Thema Sicherheit ist jetzt bei mir erstmal wieder auf dem Plan.
Egal ob es Zufall oder Absicht war. Interessieren würde es mich trotzdem, wie man so "Fummelheinis"
in den Griff bekommt. Außerdem spielt der Bursche mit seinem Rauswurf-da wüßte ich schon gerne
vorher wie ich das System dicht bekomme.

Grüße

[cYbercOsmOnauT]

Ein Blick ins access.log würde vielleicht Klarheit schaffen. Kann gut sein, dass er, warum auch immer, per Skript das Images-Verzeichnis nach Treffern (HTTP 200 anstelle von 404) durchprobiert hat. Dies würdest Du im access.log sehen.

[Mahony]

Hallo
Hm..zumindest den direkten Zugriff auf die Template-Dateien kannst du per .htaccess schützen.

Dazu legst du eine .htaccess mit folgendem Inhalt

Code: Alles auswählen

<Files *.html>
  Deny from all
</Files>

in das Verzeichnis styles/mein_style/template.

P.S. Wenn der Smilie jemals von dir in deinem Board benutzt wurde, dann ist es keine Kunst auf den Pfad des Smilies und dessen Namen zu kommen. Per Rechtsklick - Grafik anzeigen kann sich jeder die Infos auslesen.


Grüße: Mahony

[Drachenzuechter]

Hallo
Hm..zumindest den direkten Zugriff auf die Template-Dateien kannst du per .htaccess schützen.

Danke, habe ich gerade hochgeladen.

P.S. Wenn der Smilie jemals von dir in deinem Board benutzt wurde, dann ist es keine Kunst auf den Pfad des Smilies und dessen Namen zu kommen. Per Rechtsklick - Grafik anzeigen kann sich jeder die Infos auslesen.

Ich hatte es 'mal in einem Testpost, welchen ich gelöscht habe - bevor das Forum online gegangen ist.
.
Ich hatte sowieso vor nach des Rätsels Lösung zufragen. Ist es wie Du schreibst, nehme ich alles
zurück und behaupte das Gegenteil. Dann habe ich mir mehr Streß gemacht als notwendig und hier völlig
"noob-mäßig" rumgezickt.

@cYbercOsmOnauT
Wo im ACP finde ich die betreffende "access.log" genau? Auf Anhieb ist mir ihr Versteck nicht aufgefallen....

[cYbercOsmOnauT]

Gib mal bitte access.log in Google ein. Dann hast Du Deine Antwort

Ich war davon ausgegangen, dass Du dieses Smilie noch nie verwendet hast. So ist es natürlich klar, wie er es als Image nutzen konnte.

Grüße,
Tekin

[Drachenzuechter]

Ich war davon ausgegangen, dass Du dieses Smilie noch nie verwendet hast. So ist es natürlich klar, wie er es als Image nutzen konnte

Da ich den Link zum Forum vor dem Stichtag nicht rausgerückt habe, ist mir das nicht sooo klar.
Na, wir werden sehen ...

Die Auswertung der Access.log wird wohl noch ein bißchen dauern.
Tante G hat dazu einiges zubieten und ich muß mich erstmal
damit beschäftigen.

Danke Euch

und erst einmal gute Nacht

[Drachenzuechter]

Da bin ich wieder.

Zum Glück war es falscher Alarm und des Rätsels
Lösung ist ganz simpel:
Es gab im Forum unter der Smiley-Auswahl einen Button
"weitere Smilies" oder ähnlich.

Über diesen Button sind wohl die Smilies verfügbar gewesen,
welche zusätzlich im entsprechenden Verzeichnis liegen.

Mir ist dieser Button nie aufgefallen. Warum aber werden
die Dinger auch angezeigt, wenn ich sie gar nicht ausgewählt habe?

Meine Quintessenz: Sauberkeit auf dem Server halten
und nichts rumliegen lassen.

...wie sonst eben auch

Ein zusätzliches Auge auf dem Thema "Foren-Sicherheit"
habe ich dadurch trotzdem.

Grüße


PS: Solange kein Button auftaucht "Change User"...