hannes: Name der hochgeladenen Datei soll nicht sichtbar sein

SELF-Forum

Name der hochgeladenen Datei soll nicht sichtbar sein

hannes
Informationen zu den Bewertungsregeln

Hallo,

ich habe mit einem php-script Dateien in ein Verzeichnis hochgeladen.
Ein weiteres php-script soll die hochgeladenen Dateien anzeigen.

Nun möchte ich die angezeigten Dateien per Link herunterladen (oder öffnen) können (passwortgeschützter Zugang).

Das funktioniert alles. Aber es gibt ein Problem. Bei mouseover wird der Dateiname (und das Verzeichnis) in der Statuszeile des Browsers angezeigt. Aus Sicherheitsgründen will ich dies nicht. Ich will auch nicht einfach mit javascript die Status-Meldung unterdrücken.

Wie kann man das lösen?
Gruss

Beitrag melden
Informationen zu den Bewertungsregeln

  1. Name der hochgeladenen Datei soll nicht sichtbar sein

    Klawischnigg
    Informationen zu den Bewertungsregeln

    Hi there,

    Das funktioniert alles. Aber es gibt ein Problem. Bei mouseover wird der Dateiname (und das Verzeichnis) in der Statuszeile des Browsers angezeigt. Aus Sicherheitsgründen will ich dies nicht.

    Du willst aus Sicherheitsgründen nicht, daß man sieht, wie die Datei heisst, die man downloaden kann???

    Beitrag melden
    Informationen zu den Bewertungsregeln

    1. Name der hochgeladenen Datei soll nicht sichtbar sein

      hannes
      Informationen zu den Bewertungsregeln

      Ja,

      die scripts sind passwortgeschützt (Zugang mit unterschiedlichen Berechtigungen). A hat Zugriff auf alle Dokumente im Verzeichnis X, B hat nur Zugriff auf einzelne Dokumente. Wenn B aber den Verzeichnisnamen kennt, kann er mit etwas Fantasie Dokumentnamen (weiterer möglicher Dokumente im Verzeichnis) erraten, und direkt über die Adressleiste (unter Umgehung der php-Passwortabfrage) zu einem Dokument kommen, für das er keine Berechtigung hat.

      Gruss

      Beitrag melden
      Informationen zu den Bewertungsregeln

      1. Name der hochgeladenen Datei soll nicht sichtbar sein

        Klawischnigg
        Informationen zu den Bewertungsregeln

        Hi there,

        die scripts sind passwortgeschützt (Zugang mit unterschiedlichen Berechtigungen). A hat Zugriff auf alle Dokumente im Verzeichnis X, B hat nur Zugriff auf einzelne Dokumente. Wenn B aber den Verzeichnisnamen kennt, kann er mit etwas Fantasie Dokumentnamen (weiterer möglicher Dokumente im Verzeichnis) erraten, und direkt über die Adressleiste (unter Umgehung der php-Passwortabfrage) zu einem Dokument kommen, für das er keine Berechtigung hat.

        Dann kannst Du nur die einen Dateien mit Berechtigung Benutzer A auf einer Seite und die anderen Dateien mit Berechtigung Benutzer B auf einer anderen Seite zur Verfügung stellen, und dort, wo es Überschneidungen gibt, die Datei einfach zweimal darstellen, wenn Du nicht willst, daß man aus dem Verzeichnisnamen des einen Berechtigtenkreis' Dateien aus dem anderen zu erraten versucht. Auf die Browserfunktion, die nun einmal anzeigt, was 'runtergeladen werden kann, hast Du auch mit Javascript nur einen scheinbaren Einfluss...

        Beitrag melden
        Informationen zu den Bewertungsregeln

        1. Name der hochgeladenen Datei soll nicht sichtbar sein

          hannes
          Informationen zu den Bewertungsregeln

          Der hier beschriebene Lösungsansatz http://www.php-faq.de/q/q-datei-download.html
          scheint das Problem zu lösen.
          Aber ob ich das alles richtig verstehe!?

          Sonst werde ich die weniger elegante Lösung der verschiedenen Verzeichnisse wählen, oder - kurz vor dem Verzweifeln - zurück ins forum kommen ;-)

          danke und Gruss

          Beitrag melden
          Informationen zu den Bewertungsregeln

      2. Name der hochgeladenen Datei soll nicht sichtbar sein

        Rouven
        Informationen zu den Bewertungsregeln

        Hello,

        die scripts sind passwortgeschützt (Zugang mit unterschiedlichen Berechtigungen). A hat Zugriff auf alle Dokumente im Verzeichnis X, B hat nur Zugriff auf einzelne Dokumente. Wenn B aber den Verzeichnisnamen kennt, kann er mit etwas Fantasie Dokumentnamen (weiterer möglicher Dokumente im Verzeichnis) erraten, und direkt über die Adressleiste (unter Umgehung der php-Passwortabfrage) zu einem Dokument kommen, für das er keine Berechtigung hat.

        dann hast du offensichtlich einen Fehler in deinem Sicherheitskonzept. Du könntest einen Berechtigungscheck in PHP mit dem Download der Datei kombinieren, siehe PHP-FAQ.

        MfG
        Rouven

        --
        -------------------
        There's no such thing as a free lunch  --  Milton Friedman
        Beitrag melden
        Informationen zu den Bewertungsregeln

  2. Name der hochgeladenen Datei soll nicht sichtbar sein

    Cheatah
    Informationen zu den Bewertungsregeln

    Hi,

    Das funktioniert alles. Aber es gibt ein Problem. Bei mouseover wird der Dateiname (und das Verzeichnis) in der Statuszeile des Browsers angezeigt. Aus Sicherheitsgründen will ich dies nicht.

    etwas, das man downloaden kann, ist offenbar per HTTP verfügbar. Was per HTTP verfügbar ist, besitzt eine URL. Diese URL ist in 100% aller Fälle absolut und unverzichtbar bekannt. Mit Dateien hat dies allerdings höchstens zufällig zu tun.

    Ich will auch nicht einfach mit javascript die Status-Meldung unterdrücken.

    Das würde auch nichts bringen, abgesehen von einem Qualitätsverlust.

    Wie kann man das lösen?

    Lösen kann man Probleme, ein solches hast Du bisher noch nicht genannt.

    Cheatah

    --
    X-Self-Code: sh:( fo:} ch:~ rl:° br:> n4:& ie:% mo:) va:) de:] zu:) fl:{ ss:) ls:~ js:|
    X-Self-Code-Url: http://emmanuel.dammerer.at/selfcode.html
    X-Will-Answer-Email: No
    X-Please-Search-Archive-First: Absolutely Yes
    Beitrag melden
    Informationen zu den Bewertungsregeln