[TYPO3-german] URL Setting

Peter Linzenkirchner liste at lisardo.de
Sat Nov 12 17:34:37 CET 2016 

Hallo, 

naw_securedl wird eingesetzt um interne Bereiche abzusichern. In einem internen Bereich muss überprüft werden, ob der Besucher das Recht hat eine Datei auch herunterzuladen. Wenn das erforderlich ist, können keine direkten URLs zu den Dateien verwendet werden, weil dann die Berechtigung nicht geprüft werden kann. Das ist nur möglich, wenn der Zugriff über index.php?eID= zugegriffen wird. Für geschützte Bereiche ist das also ein absolut nötiges Feature. 

Wenn es sich also um einen internen Bereich handelt, so trickst ihr mit den externen Links die Überprüfung aus. Alle eure Dateien wären dann öffentlich zugänglich. Allerdings darf das gar nicht funktionieren (das wäre dann eine massive Sicherheitslücke) und wenn es doch funktioniert, so wurde die Extension naw_securedl entweder falsch konfiguriert, oder die Absicherung der Ordner durch htaccess-Dateien wurde vergessen. 

Also egal wie man es dreht und wendet: eure Installation hat ein Problem. 

Je nachdem wie man es sieht, ist es ein Usability-Problem oder ein Sicherheits-Problem. Eigentlich müsste über eine Kombination aus Konfigurationsparametern von naw_securedl sichergestellt sein, dass entweder immer direkte Links verwendet werden (wenn es sich um Dateien handelt, die nicht in geschützen Bereich liegen) oder dass direkte Links überhaupt nicht möglich sind (wenn es sich um Dateien in internen Bereichen handelt). 

Normalerweise legt man in der Konfiguration der Extension fest, welche Ordner überwacht werden müssen. Dann legt man in diese Ordner htaccess-Dateien, die jeden direkten Zugriff verhindern. Direkte Links enden dann _immer_ mit einem error 403 (forbidden), ganz egal, wie die Links gesetzt werden. Ausschließlich Links über das eID-System werden aufgelöst, da das Skript die Rechte prüft und die Datei ausliefert, wenn die Rechte passen, und eine Fehlermeldung bringt, wenn die Rechte nicht passen. Nicht überwachte/ungeschützte Ordner können immer direkt verlinkt werden, da hier das eID-System idealerweise inaktiv ist. 

Sprecht mit eurem Systemadmin, und bittet ihn, das Problem zu lösen. Es sollte möglich sein, bestimmte Ordner aus der Überwachung auszunehmen, dann können die Dateien in diesem normal verlinkt werden, und es sind trotzdem direkte Links. Wenn es sich um Dateien in einem internen, geschützten Bereich handelt, dann ist das System falsch konfiguriert und hat eine eklatante Sicherheitslücke. Auch in diesem Fall solltet ihr euren Systemadmin bitten, das schnellstmöglich zu ändern. 

Ich vermute, dass beides der Fall ist: naw_securedl ist so konfiguriert, dass die gesamte Webseite überwacht wird (was ein Usability-Problem darstellt), und zusätzlich wurden die htacces-Dateien vergessen, mit denen die internen Bereiche abgesichert werden. Andernfalls sollte es nicht möglich sein, dass externe Links auf interne Dateien überhaupt ausgeliefert werden. 

Ich rate dringend, das zu prüfen. Wenn es so ist, wie ich vermute, sind möglicherweise Teile ihrer internen Dateien öffentlich zugänglich. 

Gruß
Peter


> Am 12.11.2016 um 10:23 schrieb Renzo Bauen <typo3 at conpassione.ch>:
> 
> Hallo Kevin
> Ich sehe das genau so wie Michael.
> naw_securedl ist eine Extension mit der man die Downloads absichern
> kann. D.h. dass man eben nicht über
> http://meine.domain.tld/fileadmin/meinedatei.txt direkt auf die Datei
> zugreifen kann.
> Das Verzeichnis sollte natürlich mit einer .htaccess entsprechend
> gesichert sein, so dass der direkte Link nicht funktioniert.
> 
> D.h. du musst mit dem Admin reden, dass der naw_securedl so einstellt,
> dass kürzere URLs generiert werden, wenn der Schutz der Dateien
> überhaupt nötig ist. Wenn das nicht nötig ist, kann er die Ext ja auch
> ausschalten...
> 
> Beste Grüsse, Renzo
> -- 
> conPassione gmbh
> CH-3661 Uetendorf
> +41 33 345 00 92 
> 
> 
> _______________________________________________
> TYPO3-german mailing list
> TYPO3-german at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-german



-- 
-----------------------------------------------
Peter Linzenkirchner
Lisardo EDV-Beratung
Katharinengasse 20, Rückgebäude, 
Eingang Bleigäßchen 5
86150 Augsburg
Tel. +49-821-150565, Fax +49-821-150595
http://typo3-lisardo.de
info at lisardo.de
-----------------------------------------------

--
Xing: http://www.xing.com/profile/Peter_Linzenkirchner
Web: http://www.typo3-lisardo.de
Facebook: http://tinyurl.com/lisardo-multimedia

More information about the TYPO3-german mailing list