[Typo3-german] file(admin)-Bereich, der Authentifikation erzwingt...
Alexander Stielau
aleks at oerks.de
Wed Oct 19 12:54:38 CEST 2005
Moin,
das ist wohl eher ne konzeptionelle Frage, deshalb könnt Ihr auch gern
mit der passenden FAQL werfen, ich habe dann flasch gesucht.
Auf meiner alten Webseiten habe ich den internen Bereich/ für Mitglieder
mittels htaccess beschränkt. Diese (FE-)User konnten ein Verzeichnis
lesen, in dem Dateien (pdfs vor allem) für diese User abgelegt werden konnten.
Auf den Webseiten konnte man dann eben auf Dateien in diesen Bereich
verlinken, wenn man diesen Link direkt aufgerufen hat, also von
außerhalb der Webseiten einfach die komplette URL, hat htaccess
richtigerweise dazwischen gefunkt und nach der Authentifizierung
gefragt.
Ich bekomme das in typo3 (noch) nicht abgebildet. Es gibt einen Bereich
für angemeldete FE-User, aber die Dateien für diese liegen unterhalb
fileadmin/intern/.
Wenn man nun die komplette URL weiß, kommt man an diese Dokumente heran,
auch ohne Authentifikation.
Das ist schlecht - die Dokumentennamen sind per bruteforce leicht
ermittelbar.
Wie gehe ich dieses Problem an? fileadmin scheint ja nur die normalen
Unix-Rechte zu berücksichtigen, und die sind eben die des Webservers,
nicht der FE-User.
Ist es möglich, ein filemount ausschliesslich an eine FE-Gruppe zu
hängen? Oder muß ich unterhalb des Logins ein weiteres Dateisystem
etablieren? Wenn ja wie?
Aleks
More information about the TYPO3-german
mailing list