nicht angemeldet
-Datei sicher machen
Hallo,
ich habe eine Adressliste auf Basis von miniXML (PHP) und, logisch, XML gemacht.
Während bei der Benutzung von Datenbanken der unerlaubte Zugriff relativ sicher ist, ist dies bai Flatfiles wie CSV oder XML stadardmäßig nicht.
Wie kann ich den mißbräuchlichen Zugriff auf meine XML-Datenquelle einschränken?
Im moment verwende ich eine Dateierweiterungsänderung auf jpg, was den Brpwser erst mal in die irre führt. Desweiteren verwende ich ein XSL welches keine Daten ausgibt und verhindere Verzeichnisbrowsing mit einer Index.html.
bydey
--
-- bydey ist die Signatur und Verabschiedung, nicht der Nick --
-- Navigate all your PHP web projects with PHP Project Browser--
-- bydey ist die Signatur und Verabschiedung, nicht der Nick --
-- Navigate all your PHP web projects with PHP Project Browser--
-
Hallo,
wenn Du Apache benutzt, kannst Du beispielsweise per .htaccess den Zugriff auf xml-Dateien sperren:
<Files ~ "\.xml$"> Order deny,allow Deny from all </Files>(ungetestet)
Gruß
Olaf-
Hallo,
wenn Du Apache benutzt, kannst Du beispielsweise per .htaccess den Zugriff auf xml-Dateien sperren:
<Files ~ ".xml$">
Order deny,allow
Deny from all
</Files>Danke, aber auf dem Shared server von 1und1 habe ich keinen derartigen Zugriff. bydey -- \-- bydey ist die Signatur und Verabschiedung, nicht der Nick -- \-- Navigate all your PHP web projects with [PHP Project Browser](http://deynews.de/ppb/)---
Hallo bydey!
Danke, aber auf dem Shared server von 1und1 habe ich keinen derartigen Zugriff.
Ich habe ein Webhostingpaket bei 1und1 und kann dort Dateien vom Browsen ausnehmen. Steht sogar in der FAQ dass man das an und ausschalten kann.
Schönen Gruß
Afra
-
Hi,
Danke, aber auf dem Shared server von 1und1 habe ich keinen derartigen Zugriff.
Du müsstest aber eine .htaccess anlegen und hierüber die Zugriffsrechte über HTTP einschränken können.
Eine ganz simple Methode wäre, die Dateinamen geschickt zu wählen. Nicht so wie in Deinem Versuch den Browser in die Irre zu führen, sondern die Standardfunktion des Apache nutzen, dass er Konfigurationsdateien nicht ausliefert: .htIrgendwas.xmlfreundliche Grüße
Ingo
-
-
-
Hallo dey.
Während bei der Benutzung von Datenbanken der unerlaubte Zugriff relativ sicher ist, ist dies bai Flatfiles wie CSV oder XML stadardmäßig nicht.
Wie kann ich den mißbräuchlichen Zugriff auf meine XML-Datenquelle einschränken?Lege entsprechende Zugriffsrechte fest, welche allein dem Prozess, unter dem PHP läuft, einen lesenden Zugriff gestatten. (Häufig „www-data“.)
Im moment verwende ich eine Dateierweiterungsänderung auf jpg, was den Brpwser erst mal in die irre führt.
… aber in keiner Weise ein Hindernis darstellt. (Zumal Dateierweiterungen im HTTP-Kontext sowieso wenig Relevanz haben.)
Einen schönen Montag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
debian/rules-
Hallo,
Lege entsprechende Zugriffsrechte fest, welche allein dem Prozess, unter dem PHP läuft, einen lesenden Zugriff gestatten. (Häufig „www-data“.)
Kannst du mir hier mal auf die Sprünge helfen, wo ich www-data setzen kann. Per ftp tool wohl nicht oder!?
bydey
--
-- bydey ist die Signatur und Verabschiedung, nicht der Nick --
-- Navigate all your PHP web projects with PHP Project Browser---
Hallo dey.
Lege entsprechende Zugriffsrechte fest, welche allein dem Prozess, unter dem PHP läuft, einen lesenden Zugriff gestatten. (Häufig „www-data“.)
Kannst du mir hier mal auf die Sprünge helfen, wo ich www-data setzen kann. Per ftp tool wohl nicht oder!?Du kannst www-data nicht „setzen“, da dies bereits der Nutzername ist, unter welchem dein Apache (vermutlich) läuft.
Du musst also deinem XML-Dokument entweder als root www-data als Besitzer zuweisen oder dieses Dokument von www-data anlegen lassen. Damit wird dieser Nutzer ebenfalls als Besitzer festgelegt. Danach kannst du per chmod Lese- und Schreibrechte nur für diesen Nutzer (0600) festlegen.
Einen schönen Montag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
debian/rules-
Hallo,
Du musst also deinem XML-Dokument entweder als root www-data als Besitzer zuweisen oder dieses Dokument von www-data anlegen lassen. Damit wird dieser Nutzer ebenfalls als Besitzer festgelegt. Danach kannst du per chmod Lese- und Schreibrechte nur für diesen Nutzer (0600) festlegen.
Da ich kein root-Zugriff habe sollte ich die Datei per PHP hochladen oder ereugen und danach per ftp chmod 0600 setzen!?
bydey
--
-- bydey ist die Signatur und Verabschiedung, nicht der Nick --
-- Navigate all your PHP web projects with PHP Project Browser--
-
-
-
Moin!
Während bei der Benutzung von Datenbanken der unerlaubte Zugriff relativ sicher ist, ist dies bai Flatfiles wie CSV oder XML stadardmäßig nicht.
Wie kann ich den mißbräuchlichen Zugriff auf meine XML-Datenquelle einschränken?Lege entsprechende Zugriffsrechte fest, welche allein dem Prozess, unter dem PHP läuft, einen lesenden Zugriff gestatten. (Häufig „www-data“.)
Und was bringt das im HTTP-Kontext? Ob nun der Apache die Datei als PHP lesen darf, oder als Apache (und sie direkt ausliefert), ist doch egal. Dran kommt man über das Internet dann immer noch.
- Sven Rautenberg
--
"Love your nation - respect the others."-
Hallo Sven.
Lege entsprechende Zugriffsrechte fest, welche allein dem Prozess, unter dem PHP läuft, einen lesenden Zugriff gestatten. (Häufig „www-data“.)
Und was bringt das im HTTP-Kontext? Ob nun der Apache die Datei als PHP lesen darf, oder als Apache (und sie direkt ausliefert), ist doch egal. Dran kommt man über das Internet dann immer noch.
Womit du wieder einmal recht hast.
Einen schönen Montag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
debian/rules
-
-
-
Moin!
Während bei der Benutzung von Datenbanken der unerlaubte Zugriff relativ sicher ist, ist dies bai Flatfiles wie CSV oder XML stadardmäßig nicht.
Was meinst du damit genau? Natürlich kann ich auf der Datenbankebene den Zugriff gut kontrollieren, aber das heißt noch lange nicht, dass die Daten auf Dateisystemebene gut geschützt sind.
Wie kann ich den mißbräuchlichen Zugriff auf meine XML-Datenquelle einschränken?
Indem du nur kontrollierte Zugriffe zulässt, wie dies auch ein Datenbankserver macht, d.h. du kannst deine Datenbank mit HTTP-Auth schützen noch besser, die XML-Datei in ein Verzeichnis außerhalb der Document-Root legen.
Im moment verwende ich eine Dateierweiterungsänderung auf jpg, was den Brpwser erst mal in die irre führt. Desweiteren verwende ich ein XSL welches keine Daten ausgibt und verhindere Verzeichnisbrowsing mit einer Index.html.
Wenn ich vermute, dass da irgendwo eine Datenbank liegt und bekomme ein JPEG-Bild, welches keines ist, würde ich dann nicht zuerst einmal schauen, weshalb das Bild nichts anzeigt und fällt dann die Verschleierung nicht auf? Aber was ich nicht verstehe: Wozu soll denn das XSL gut sein?
Viele Grüße,
Robert -
Tach dey,
Wie kann ich den mißbräuchlichen Zugriff auf meine XML-Datenquelle einschränken?
Wenn die Dokumente nur serverseitig verarbeitet werden und lediglich die Ergebnisse beim Client landen sollen, wäre ihre Ablage außerhalb von DocumentRoot sinnvoll.
Man liest sich,
svg4you-
Nachtrag:
Wenn die Dokumente nur serverseitig verarbeitet werden und lediglich die Ergebnisse beim Client landen sollen, wäre ihre Ablage außerhalb von DocumentRoot sinnvoll.
Sorry, den Tipp hat ja Robert bereits gegeben und ich war sicher, die bisherigen Postings im Thread weisen darauf nicht hin.
Man liest sich,
svg4you-
Moin!
Wegen sowas
Sorry, den Tipp hat ja Robert bereits gegeben […]
einen
Nachtrag:
ist doch totale Zeitverschwendung, doppelt hält besser ;-)
Guten Wochenanfang,
Robert
-
-