[TYPO3-UG Dutch] Bestanden verbergen
Bas v.d. Wiel
bas at kompasmedia.nl
Sun Jun 19 20:18:31 CEST 2011
Hoi Ric,
De DAM op zichzelf beschermt je niet, aangezien bestanden nog steeds
rechtstreeks via /uploads en /fileadmin te benaderen zijn. Dit is alleen
veilig te krijgen wanneer je de toegang tot de directory's afhankelijk
kunt maken van je inlogsessie in TYPO3. Geen idee eigenlijk of Apache in
staat is je TYPO3 sessiecookie te valideren (nooit naar gekeken) maar ik
vermoed van niet. Wat wel zou kunnen werken, maar dat heeft weer andere
grote nadelen, is de documenten opslaan als BLOB-velden in je database
en deze dan uitsluitend reproduceren op verzoek van iemand met een
geldige sessie. Je database moet daar alleen wel op ingericht zijn en
bij mijn weten is er ook geen extensie die dit doet (maar ik ken ze niet
alle 5000). ;-)
Groeten,
Bas
On Sat, 18 Jun 2011 15:16:26 +0200, Ric van Westhreenen wrote:
> Volgens mij, correct me if i'm wrong, los je het beveiligingsprobleem
> op door gebruik te maken van DAM.
>
> Ric
>
> Verstuurd vanaf mijn iPad
>
> Op 18 jun. 2011 om 13:48 heeft "Daniel Doesburg | DOESBURG.BIZ"
> <daniel at typo3-nl.eu> het volgende geschreven:
>
>> Hoi Martijn,
>>
>> Een paar opmerkingen:
>> Een pagina die beveiligd is beveiligt op geen enkele manier
>> bestanden.
>> De map "fileadmin" is bij iedereen die iets van TYPO3 weet bekend.
>> Dan is het alleen nog maar een kwestie van raden naar de naam.
>> M.a.w. zet ze in een andere map.
>>
>> Je kunt Google vertellen in robots.txt dat ie niet in bepaalde
>> mappen mag zoeken.
>>
>> Verder zijn er een paar extensies die eea nog wat beveiligen,
>> bijvoorbeeld door het aanmaken van speciale links die maar een
>> beperkte tijd (bijv 24 uur) geldig zijn en door een .htaccess file.
>>
>>
>> Met vriendelijke groeten,
>>
>> Daniel Doesburg
>>
>>
>>
>>
>>
>> Martijn de Vries schreef:
>>> Beste TYPO3'ers,
>>>
>>> Voor mijn website wil ik graag een beveiligde omgeving creëren met
>>> hierachter belangrijke documenten met behulp van een inlogmodule.
>>> Deze documenten mogen niet op straat te komen liggen en mijn vraag
>>> aan jullie is: hoe ik dit het beste kan doen?
>>>
>>> De documenten worden uit de fileadmin gehaald en deze koppel ik met
>>> de filelinks module aan de pagina. Deze pagina is beveiligd met een
>>> inlogscherm en de gebruiker dient eerst in te loggen, voordat hij
>>> deze documenten kan zien.
>>>
>>> Zoekt Google ook langs de fileadmin?
>>>
>>> Ik ben benieuwd naar jullie reactie. Alvast bedankt!
>>>
>>> Met vriendelijke groet,
>>>
>>> Martijn de Vries
>>
>>
>> _______________________________________________
>> TYPO3-UG-Dutch mailing list
>> TYPO3-UG-Dutch at lists.typo3.org
>> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-dutch
> _______________________________________________
> TYPO3-UG-Dutch mailing list
> TYPO3-UG-Dutch at lists.typo3.org
> http://lists.typo3.org/cgi-bin/mailman/listinfo/typo3-ug-dutch
More information about the TYPO3-UG-Dutch
mailing list