[TYPO3-german] /fileadmin und Zugriffsrechte

MichaelOF michaelof at rocketmail.com
Thu Dec 22 19:43:05 CET 2016 

Hallo Dieter,


Danke für den freundlichen Hinweis, ich hatte selbst auch schon überlegt, ob es nicht zu lang war.

Sobald ich wieder am Rechner sitze, werde ich die Fragen eindampfen und in einzelne kleine Mails aufteilen.


Viele Grüße,
Michael

Am 22. Dezember 2016 19:04:35 MEZ, schrieb "Dr. Dieter Porth" <typo3 at mobger.de>:
>Hallo Michael,
>
>ich habe keine Ahnung, wie es den anderen Mitlesern geht. Aber ich 
>denke, dass in diesem Forum die Variante 'ein Problem = ein Post' 
>bewährt hat. Es ist nicht verboten, zwei Thread kurz nacheinander zu 
>eröffnen.
>
>Du möchtest ein Tutorial haben und erwartest auf deine Tapete von Text 
>Antworten auf viele unterschiedliche Fragen.  Das funktioniert meist 
>nicht wirklich gut. Im besten Fall wird zufällig eine Frage beantwortet
>
>und der Rest bleibt unerledigt. Schlimmer noch, Dank der Suchmaschinen 
>werden spätere Surfer in die Irre geführt.
>
>Mein Tipp: Bringe dein Problem kurz und knapp auf den Punkt.
>
>Je konkreter die Beschreibung, desto wahrscheinlicher ist eine Antwort.
>
>Bedenke, dass jeder Forenthread einen Dialog darstellt – und wie jedes 
>Gespräch kreist auch ein Thread immer nur um ein Thema.
>
>Mit besten Grüßen
>
>    Dieter
>
>
>Am 22.12.2016 um 10:17 schrieb Michael_OF:
>> Gruezi Renzo und Hallo Michael,
>>
>>
>> vielen lieben Dank für Eure Antworten!
>>
>> Ich habe mir die von Euch erwähnte Extension "secure_downloads"
>angesehen und
>> vorgestern Nacht im IRC Channel #TYPO3 parallel noch als weiteren
>Tipp die (anscheinend ähnliche) Extension "FAL Secure
>> Download" bekommen.
>>
>> Die Dokumentation zu beiden Extensions weisen darauf hin, dass Sie
>nur einen Layer über den Zugriff legen, der von TYPO3
>> über "File Storages" implementiert ist und per Konzeption von TYPO3
>direkt durch den Webserver erfolgt.
>>
>> Dazu habe ich aber direkt noch ein paar Fragen:
>>
>> Die Doku über den File Abstraction Layer
>>
>(https://docs.typo3.org/typo3cms/FileAbstractionLayerReference/singlehtml/Index.html#document-Administration/Storages/Index)
>> weist extra darauf hin (rote Box):
>>
>> "This does not magically protect your files if they are within your
>web root (e.g. below the fileadmin folder). They
>> will still be available to anyone who knows the path to the file. To
>implement a strict access restriction the Storage
>> must point to some path outside the web root or the folder it points
>to must contain web server restrictions to block
>> direct access to the files it contains (for example, in an Apache
>.htaccess file)."
>>
>> Ich habe versucht, testweise ein paar weitere File Storages /
>Dateispeicher anzulegen. Angelehnt an den existierenden
>> Daten für fileadmin/. Hat einen Moment gedauert (nichts in der Doku
>dazu gefunden) bis ich verstanden habe, dass man den
>> physikalischen Ordner selber extern anlegen muss. Im Gegensatz zum
>Ordner für fileadmin/, den legt TYPO3 während der
>> Erstinstallation selber an.
>>
>> Generell hatte ich da ein paar schräge Fehlermeldungen:
>>
>> Fehlt der Ordner des Dateispeichers, ist (manchmal :-S) die
>Baumstruktur unter Datei/Dateiliste "kaputt", Fehlermeldung
>> aus dem Log: Core: Exception handler (WEB): Uncaught TYPO3 Exception:
>#1314516810: Folder "/" does not exist. |
>> TYPO3\CMS\Core\Resource\Exception\FolderDoesNotExistException thrown
>in file
>>
>/srv/www/typo3_src-7.6.14/typo3/sysext/core/Classes/Resource/Driver/LocalDriver.php
>in line 285. Requested URL:
>>
>http://localhost:10080/typo3root/typo3/index.php?route=%2Ffolder%2Ftree&token=a9a525732a980b1eee9596ac665ef9cbf1092dee
>>
>> Verschwindet, wenn der Ordner existiert und betriebssystemseitig die
>passenden Rechte hat. Konkrete Frage: Bei mir unter
>> OpenSuse "gehören" alle Apache Daten dem User "wwwrun" in der Gruppe
>"www". Für den fileadmin/ Ordner hat TYPO3 auf
>> Gruppenebene das "sticky Bit" gesetzt
>(https://de.wikipedia.org/wiki/Sticky_Bit) - soll/muss das für alle
>> "Dateispeicher" Ordner so sein?
>>
>> Solche schrägen "manchmal" Fehler habe ich noch öfters: Wenn ich z.B.
>unter Datei/Dateiliste mit der rechten Maustaste
>> auf das Icon einer beliebigen hochgeladenen Datei geklickt habe, kam
>die Meldung "uid must be positive integer, 0 given"
>> (Core: Exception handler (WEB): Uncaught TYPO3 Exception:
>#1437656456: $uid must be positive integer, 0 given |
>> InvalidArgumentException thrown in file
>>
>/srv/www/typo3_src-7.6.14/typo3/sysext/backend/Classes/Form/FormDataProvider/AbstractDatabaseRecordProvider.php
>in line
>> 39. Requested URL:
>>
>http://localhost:10080/typo3root/typo3/index.php?route=%2Frecord%2Fedit&token=d468e2c4f137992958358e9a0235346ff2229f83&edit%5Bsys_file_metadata%5D%5B0%5D=edit&returnUrl=%2Ftypo3root%2Ftypo3%2Findex.php%3FM%3Dfile_FilelistList%26moduleToken%3Dc49c5bf5a7a01f7b13fb1e4f42b12502d9de6983%26id%3D5%253A%252FSub1%252F
>> )
>>
>> Als Neuling hab ich gesehen, dass eine System-Extension "advanced
>file metadata" existiert, aber nicht aktiviert war. Da
>> das "passend" klang, habe ich diese mal aktiviert, und tatsächlich,
>der "uid must be positive integer, 0 given"-Fehler
>> ist jetzt weg. Lustigerweise sogar immer noch, wenn man die Extension
>"advanced file metadata" wieder deaktiviert :-S
>> Ich bekomme dann ganz normal den "abgespeckten" "Datei-Metadaten
>"<DATEINAME>" auf Wurzelebene bearbeiten" Dialog.
>>
>> Generelle Frage dazu: Ich halte das für einen (harmlosen) Bug. Welche
>ich bei allen anderen Open Source Themen wenn
>> möglich gerne irgendwo eintrage. Für TYPO3 finde ich jetzt aber unter
>TYPO3.org nicht wirklich direkt einen Hinweis, wie
>> das Bug Tracking organisiert ist. Gibt es irgendwo eine Bugzilla
>Instanz oder sowas?
>>
>> Letzte Fragen, generell, zum Thema .htaccess:
>>
>> Die Apache Doku (und jeder, mit dem man in #httpd chattet :-)) weist
>deutlichst darauf hin, dass die Verwendung von
>> .htaccess Dateien einen nicht unerheblichen Performance-Verlust des
>Webservers bedeutet, da in der Ordnerstruktur im
>> gesamten Baum bei Zugriffen Existenz und ggf. Inhalt dieser .htaccess
>Dateien geprüft werden muss. Sofern man - gilt für
>> mich, da alles auf eigenem VPS - "root"-Zugriff hat, könnte man auf
>.htaccess durch server-seitige Direktiven verzichten.
>>
>> Um hier möglichst einfach upgrade-fähig zu bleiben, das
>default-.htaccess kann sich ja jederzeit mit neuen
>> TYPO3-Releases ändern, habe ich einfach den Inhalt der .htaccess
>Datei in die "Directory" Direktive der VHOST Definition
>> mit aufgenommen und ansonsten .htaccess Dateien deaktiviert:
>>
>>          <Directory "/srv/www/htdocs/typo3root">
>>                  Options +FollowSymLinks
>>                  AllowOverride None
>>                  Require all granted
>>                  Include /srv/www/htdocs/typo3root/.htaccess
>>          </Directory>
>>
>> Mache ich genauso bei allen anderen .htaccess "Kandidaten" auf meinem
>VPS. Also z.B. bei meiner OwnCloud Instanz auf dem
>> gleichen VPS.
>>
>> Wie macht Ihr das, gibt es da Empfehlungen? Ich hätte an sich gerne
>in der Direktive auch ein "Require all denied"
>> stehen, dann "fliegt" mir aber fast alles um die Ohren, da z.B.
>nichts mehr aus fileadmin/ direkt vom Apache serviert
>> werden darf. Z.B. .css Dateien, Grafiken, usw.... Auch hier die
>allgemeine Frage: Wie macht Ihr das? "All denied" und
>> öffnende Sonderregeln für diverse Ordner?
>>
>>
>>
>> Viele Grüße und schöne Weihnachts-Feiertage für alle Mitleser dieser
>Liste,
>> Michael
>>
>>
>>
>>
>> Am 21.12.2016 um 12:00 schrieb typo3-german-request at lists.typo3.org:
>>> Date: Tue, 20 Dec 2016 22:25:42 +1100
>>> From: Michael Schams <typo3 at 2016.schams.net>
>>> Subject: Re: [TYPO3-german] /fileadmin und Zugriffsrechte
>>> To: German TYPO3 Userlist <typo3-german at lists.typo3.org>
>>> Message-ID:
><mailman.5061.1482233159.628.typo3-german at lists.typo3.org>
>>> Content-Type: text/plain; charset="UTF-8"
>>>
>>> Hi,
>>>
>>> Dateien, die nicht fuer die Oeffentlichtkeit bestimmt sind, haben
>meiner
>>> Meinung nach generell nichts in "htdocs" (oder irgendeinem
>Verzeichnis
>>> darunter) etwas zu suchen.
>>>
>>> Sorge dafuer, dass sie *ausserhalb* abgelegt werden und (wie Renzo
>>> erwaehnt hat) ein Script (bzw. eine TYPO3 Extension) diese liest und
>>> (nach entsprechender Berechtigungspruefung) an den Client sendet.
>>>
>>> Das gilt fuer vertrauliche Dokumente ebenso wie fuer Backups, MySQL
>>> Dumps, Git Repositories und aehnliches.
>>>
>>>
>>> Cheers
>>> Michael
>>
>> -------------------------------------------------
>>> Message: 1
>>> Date: Tue, 20 Dec 2016 07:53:09 +0100
>>> From: Renzo Bauen <typo3 at conpassione.ch>
>>> Subject: Re: [TYPO3-german] /fileadmin und Zugriffsrechte
>>> To: typo3-german at lists.typo3.org
>>> Message-ID:
><mailman.5019.1482216794.628.typo3-german at lists.typo3.org>
>>> Content-Type: text/plain; charset="UTF-8"
>>>
>>> Hallo Michael
>>>
>>> die Dateien kann man nur sch?tzen, wenn im entsprechenden
>Verzeichnis
>>> der Zugriff gesperrt ist via .htaccess und man einen PHP-Script der
>die
>>> Rechte pr?ft f?r den Zugriff verwendet.
>>> All das macht z.B. die Ext secure_downloads
>>>
>>> Beste Gr?sse, Renzo
>>>
>>
>> -------------------------------------------------
>> Originale Email:
>> -------------------------------------------------
>>
>>
>> TYPO3 7.6.14 / Apache 2.4.23 / OpenSuse Leap 42.2
>>
>>
>> Hallo zusammen,
>>
>>
>> ich möchte als TYPO3-Neuling eine Webseite mit geschützten Inhalten
>aufbauen.
>>
>> Für Seiten(inhalte) an sich kein Problem, da kann TYPO3 extrem viel.
>>
>> Was ich aber jetzt lernen musste ist, dass per Konzept/Default der
>/fileadmin Ordner unter der WebRoot,
>> Directory-Listings zwar unterbunden sind, aber ein Zugriff über die
>vollständige URL dennoch möglich ist.
>>
>> Ich möchte jetzt aber auch angemeldeten Benutzern Datei-Downloads als
>Links anbieten, die ebenso geschützt sind wie
>> Seiten und keinesfalls per Kenntnis des Dateinamens abrufbar sein
>sollen.
>>
>> Reales Beispiel wäre eine Einsatzplanung für ein Projekt mit
>ehrenamtlich Tätigen in Form einer PDF/LibreOffice-Datei,
>> welche natürlich einige private Daten enthält und daher nur geschützt
>nach Anmeldung herunterladbar sein darf. Im
>> Standard "landet" diese Datei beim Upload egal über welchen
>Backend-Weg ich es versuche immer in /fileadmin oder
>> Unterordnern wie "user_upload", alles "frei" zugänglich.
>>
>>
>> Für Tipps aus der Praxis wäre ich sehr dankbar,
>> viele Grüße,
>> Michael
>> _______________________________________________
>> TYPO3-german mailing list
>> TYPO3-german at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german
>>
>
>_______________________________________________
>TYPO3-german mailing list
>TYPO3-german at lists.typo3.org
>http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german

-- 
Diese Nachricht wurde von meinem Android-Mobiltelefon mit K-9 Mail gesendet.

More information about the TYPO3-german mailing list