Seite 1 von 2
Sicherheitsrisiko beim attachment mod
Verfasst: 30.01.2004 10:16
von IceT
Hallo,
Ich nutze den Attachment mod, funktioniert auch sehr gut.
Leider gibt es aber eine Sicherheitslücke.
Die downloads werden in einem vordefinierten Verzeichnis gespeichert und sind leider über die php session id's zugänglich.
Das heisst, wenn jemand die id's ändert, kann er auf alle uploads zugreifen.
Gibts eine Möglichkeit die Uploads in der Datenbank zu speichern und nur der User mit den erforderlichen Rechten darf sie dann downloaden ?
Gruß
IceT
Verfasst: 30.01.2004 10:33
von Gast200921
(1) Du kannst ein beliebiges Verzeichnis als Dateiablage angeben.
(2) Wenn Du das Attachment-Mod so einstellst, daß die Downloads allesamt nur über die Datei "download.php" laufen, kannst Du folgende .htaccess-Datei in die Dateiablage schreiben, die jegliche direkten HTTP-Zugriffe verhindert:
(3) Hat das nichts mit den Session-IDs zutun.
(4) Würde ich persönlich dies weder einen Bug noch eine Sicherheitslücke nennen.
Grüße,
Gérome
Attachment mod
Verfasst: 30.01.2004 10:37
von IceT
Ja, aber dann muss ich in der htaccess Datei die einzelnen User auch anlegen.
Besser wäre es, wenn die attachments in der Datenbank gespeichert würden oder?
Verfasst: 30.01.2004 10:44
von Gérome
Nein, musst Du nicht. Diese paar Zeilen da oben reichen aus. Das PHP-Script "downlaod.php" hat ja unabhängig davon Zugriff auf dieses Verzeichnis.
Vermutlich könnte man das Attachment-Mod so patchen, daß die Attachments aus einer DB geholt werden. Aber mir ist kein direkter Weg bekannt.
Grüße,
Gérome
hmm
Verfasst: 30.01.2004 10:49
von IceT
ok,
wie mache ich das dann mit der htaccess Datei ?
Hat dann jeder registrierte User, bzw jeder User, den ich in htaccess freischalte die Möglichkeit die attachments downzuloaden?
Ich suche eine Möglichkeit, bei der zwar alle attachments zentral gespeichert werden, aber nur der eingeloggte User zum Beispiel für ihn bestimmte attachments downloaden kann.
Verfasst: 30.01.2004 10:55
von Gérome
Vergiss Deinen Gedanken mit den Benutzern und der .htaccess-Datei. Alles, was sie tut, ist das Unterbinden direkter Zugriffe auf deine Datei-Ablage.
Die Verwaltung der Rechte vebleibt weiterhin bei phpBB bzw. dem Attachment-Mod.
Diese .htaccess-Datei kannst Du mit einem normalen Text-Editor erstellen und dann im Text-Modus (!) in Deine Datei-Ablage heraufladen.
Grüße,
Gérome
htaccess
Verfasst: 30.01.2004 11:01
von IceT
Kannst du mit vielleicht eine htaccess schicken, so konfiguriert, wie du es schreibst?
Kenne mich leider nicht so wirklich gut damit aus.
Muss ich dann noch was ändern?
Wäre wirklich nett.
Danke und Gruß
IceT
tm@4thlevel.de
Verfasst: 30.01.2004 13:21
von Gérome
Nimm' Dir einen Text-Editor, füge die drei Zeilen aus meinem ersten Beitrag ein, lade sie im Text-Modus in Deine Datei-Ablage und hoffe, daß der Websapce Deines Hosters .htaccess-Dateien akzeptiert.
1. Test: Versuche über Deinen Browser direkt eine Datei aus diesem Verzeichnis herunterzuladen. Das dürfte schon nicht mehr klappen.
Danach musst Du Dein Attachment-Mod so konfigurieren, daß alle Dateigruppen als "inline" ausgeliefert werden. Mit dem Modus "physical" dürfte es meiner Meinung nach nicht gehen, da der User dann auf die Datei in Deine Ablage weitergeleitet wird und die .htaccess-Datei dann greift.
Letzteres mußt Du einfach mal ausprobieren.
Grüße,
Gérome
Inline Modus?
Verfasst: 30.01.2004 14:41
von IceT
Wie ändere ich das denn? Oder besser gesagt was ist der unline Modus?
Verfasst: 30.01.2004 14:54
von Gérome
Wenn das wirklich nötig ist - und da war ich mir ja nicht ganz sicher - dann stellst Du dies im Admin-Panel unter "Bearbeite Dateierweiterungsgruppen" ein.
Grüße,
Gérome