phpBB.de

Hallo
Ich habe eine Frage zu den Dateianhängen und zwar lassen sie sich bei mir einfach so über eine bestimmte URL herunterladen. Und zwar auch als Gast. (Ich meine die richtige Datei inklusive Dateiname usw. Also nicht der eigentliche Pfad.)
Wie kann ich das unterbinden?

Die Nutzung dieses Board hier ist kostenlos oder?

mfg

sofern die dafür vorgesehene .htaccess in dem verzeichnis liegt, sollte das eigentlich unmöglich sein..
und, ja .. der service ist kostenlos..

Hi
Die .htaccess liegt nicht im Ordner. Wie sollte die denn ungefähr aussehen?

mfg

Hallo,

am Einfachsten dürfte es sein, wenn du dir einfach eine .htaccess aus einem frischen Paket rausnimmst und reinkopierst.

Hi
Das habe ich nun gemacht, dass Problem ist nur, dass man die Datei über den "konformen" Weg abrufen kann. Man kann also einfach den normalen GET Befehl oben als URL angeben(den gleichen der im Beitrag steht) und die Datei kommt, auch wenn man nicht angemeldet ist, geschweige denn Rechte für dieses Forum hätte.

mfg

dazu muss man aber den exakten namen der datei kennen, selbst wenn man den pfad kennt (der ja bekannt ist). den namen kann man aber nicht kennen, wenn man keinen zugriff zu dem bereich hat. so bleibt nur die rate-methode, die eher als steinzeit-hack zu verstehen ist > also keine sicherheitslücke. und wer die datei sehen kann, kann sie logischerweise auch runterladen. kann man auf jeder anderen website auch.

Hi
Nein, das geht einfach über die id. also ?id=1

mfg

Bspw. den Dateianhang http://forumtreff.pytalhost.de/download/file.php?id=29 kann leider jeder herunterladen, wenn er diese URL in die Adressleiste des Browser einfügt. Damit dieser aber wenigstens nicht heruntergeladen werden kann, wenn jemand diese URL auf irgendeiner Seite fremdverlinkt, helfen ggf. nachfolgende Eintragungen in die .htaccess.

=> http://www.phpbb.de/community/viewtopic.php?p=1093567#p1093567

Nein, das geht einfach über die id. also ?id=1

ahja, dann sollten die entwickler da nochmal nachbessern. ich persönlich benutze eh mein eigenes upload-modul (Easy Upload Manager) und nicht das phpbb3-upload-modul, wo dann genau das gilt, was ich vorher schrieb.

Hi
Das ist aber wirklich eine riesige Sicherheitslücke. Damit macht es für meinen Zweck keinen Sinn mehr, Dateianhänge im Board zu nutzen.
Gibt es da keinen Patch?

mfg