Guten Morgen Michael,

wenn es überhaupt noch irgend jemand anders interessiert, könnte dieser Thread doch etwas länger werden. Ich bin mämlich mit Deiner Antwort nicht zufrieden.

in der Datenbank sind die Bilder vor unberechtigten Zugriffen
sicher.

In einem Verzeichnis der Festplatte, das einer bestimmten Benutzer-
kennung gehört und bei dem die Zugriffs-Bits korrekt gesetzt sind,
gilt dasselbe.
Es gibt seit Jahrzehnten Betriebssysteme, die das können.

Der Benutzer identifiziert sich nicht unbedingt als Individuum. In Clienting-Systemen wird aufgrund des bisherigen Referenzweges (was hat sich der besucher bisher angesehen?) für bestimmte Angebote eine spezielle Sicht erzeugt. Auch der technisch versierte Besucher soll nun nicht in der lage sein, sich die Bilder uber HTTP-Gets direkt von der Platte zu holen. Einen andeen Zugang, als übe die http-Schnittstelle hat er (hoffentlich) sowieso nicht.

Lege ich die Bilder in ein separates Verzeichnis der Domain, kann
jeder, der dieses Verzeichnis kennt, darin nach Bildern suchen.

Keineswegs (siehe oben).

Doch! Wenn ich einer HTML-Seite den Tag <img src="...  > einbaue, muss der wwwrun (oder wie der http-deamon auch immer heißt) Zugriff auf das Verzeichnis UND die Datei haben. Sonst gibts einen Broken Link.

Der einzige Schutz ist, dass er den Namen der Bilder nicht kennt.

Nope.

Dann sag mir bitte, wie ich dem wwwrun mitteilen kann, dass der Eine zugreifen darf und der Andere nicht.

Wie kann man jetzt für die einfache Variante (ohne Datenbank) auch
etwas mehr Schutz erzeugen?

Indem man seinen Server so konfiguriert, wie es die Ausgabenstellung
erfordert. Dazu gehört sowohl ein Konzept für das Betriebssystem
(Benutzerkennungen, Gruppen etc.) als auch eines für den HTTP-Raum
(z. B. http://aktuell.de.selfhtml.org/artikel/server/htaccess/).

.htaccess führt zu einem 401^-Verfahren. Der browser wird also sein berühmtes Fenster aufklappen und nach Namen und Passwort fragen. Das ist aber gar nicht bekannt. Es ist bestenfalls ein Cookie vorhanden. Also muss ich den Zugriff auf die Bilder über ein aktives Servermanagement (z.B. PHP) steuern. Es nützt mir nichts, wenn jetzt vielleicht die Einschränkung kommt "Cookies würde ich sowieso nicht machen".

Die Dinger sind für Revisits gemacht und ich sehe heute auch keinerlei technische Bedenken gegen Ihre Verwendung.

Mir schwebte da vor, dass der Name in der Datenbank steht

Das ist alles überflüssig langsam.
Bilder sind in der Datenbank kaum jemals sinnvoll aufgehoben.

Habe ich auch nicht gesagt, dass sie Bilder in die Datenbank sollen. Sondern die Referenz auf das Bild. Alle damit verbundenen Handling- und Integritätsprobleme haben wir ja schon angesprochen. Müßte man also Trigger setzen.

<img src="http://bitworks.de/~images/Absturz2.gif" border=0 alt="">

Liebe Grüße aus Braunschweig

Tom

PS: Das Thema ist mir zu wichtig (auch im Sinne von Schröder, Thread-Opener).